Cisco site-to-site VPN (over NAT?) - Netwerken

zaterdag 28 januari 2012 14:17

Acties:

mati1983

Topicstarter

Beste allemaal,

Na gisteren een dag te hebben zitten stoeien wend ik me tot jullie.. Wie kan mij helpen??

Ik probeer een site-to-site VPN op te zetten tussen 2 Cisco ASA 5505.

Allereerst even een situatieschetje:

Afbeeldingslocatie: http://i42.tinypic.com/6nus5y.jpg

Afbeeldingslocatie: http://i42.tinypic.com/6nus5y.jpg

Vanaf site B bestaan er andere tunnels naar andere sites. Deze werken prima.. De config bij zowel site A als site B zijn gisteren tig maal nagelopen en gecontroleerd (en ook naast bestaande configs vanuit site B naar andere sites gelegd). Tenzij ik iets extras moet doen ivm de tele2 router bij site A ga ik er even vanuit dat de configs an sich in orde zijn.

Even inzoomend op site a:

In tegenstelling tot andere sites waarmee site B een tunnel heeft, zit hier een andere router tussen.. (zo'n geweldig zwart tele2 consumentenroutertje.. je kent ze vast wel

). De OUTSIDE van de ASA (192.168.1.254) krijgt al het verkeer geforward vanuit de tele2 router (opgenomen als DMZ machine).

Wanneer ik vanuit site A een 10.0.94.0 adres te benaderen (of andersom vanuit site B naar A) zie ik echter in mn ASAs logging helemaal NIETS gebeuren.. Ik zou verwachten dat er een tunnel-handshake-achtig iets plaats vindt. Elke request voor een 10.0.94.0 eindigt dan dus ook in een time out.

Plan van aanpak nu:

Ik heb het sterke vermoeden dat de Tele2 router in de weg zit.. Kan het zijn dat ik hierop iets met iets als 'ipsec passthrough' moet enablen? Geen idee of dit op het hiep-hiep-hoera router van tele2 zit.. Maar we gaan het zien.. En anders zijn dit volgens mij(?) 50/ip 500/udp en 4500/udp die ik moet hebben om door te natten..?

Mijn uiteindelijke vraag:

Is er iemand met kennis (ik heb geen diepgaande netwerkkennis, ik klik net zolang tot het werkt..

) die iets zinnigs kan roepen?

Of goede ideeën heeft?

Bvd

Martin

zaterdag 28 januari 2012 15:03

Acties:

Equator

Crew Council

#whisky #barista

Eerste vraag die in mij opkomt is: hoe heb je de clients in site A verteld dat ze voor die IP range 10.0.94.0 naar de cisco moeten? Dat is natuurlijk een stukje static routing die jij op de tele2 route moet doen (of in ieder geval op de default gateway van dat netwerk)

zaterdag 28 januari 2012 18:53

Acties:

DJSnels

Kun je de Tele2 router niet in bridge mode zetten? Zodat al het verkeer naar de ASA op site A gaat (en die ook het externe ip-adres krijgt)

Als het kan behoeft dat denk ik in alle gevallen de voorkeur

zaterdag 28 januari 2012 18:56

Acties:

BHQ

Je moet naast poorten ook een of twee protocollen forwarden. Het is maar de vraag of zo'n Tele2 brakding dat kan..

zaterdag 28 januari 2012 18:57

Acties:

ItsValium

Ik ken die Tele2 ondingen niet, maar daar zou je de ASA van site a in de DMZ moeten kunnen zetten zodat alle trafiek die op je WAN binnenkomt naar je ASA doorgestuurd wordt.

zaterdag 28 januari 2012 20:54

Acties:

Verwijderd

Een site-to-site tunnel ovar NAT is voor zover ik weet niet mogelijk (en zo wel dan toch in ieder geval heel lastig!). Dit heeft te maken met het feit dat de bron- en doel adressen ook in de gecodeerde pakketten staan om spoofing tegen te gaan. De enige keuze die je hebt is inderdaad kijken of je dat tele2 ding in bridging kunt krijgen. Of de combi tele2-router en ASA vervangen door een Cisco ADSL router die zowel de routering als de VPN tunnel op zich neemt. Die laatste combinatie gebruiken we ook bij een aantal van onze klanten. Een VPN tunnel opzetten tussen een Cisco router en een ASA is heel goed te doen.

zaterdag 28 januari 2012 21:02

Acties:

Vicarious

☑Rekt | ☐ Not rekt

Verwijderd schreef op zaterdag 28 januari 2012 @ 20:54:
Een site-to-site tunnel ovar NAT is voor zover ik weet niet mogelijk (en zo wel dan toch in ieder geval heel lastig!). Dit heeft te maken met het feit dat de bron- en doel adressen ook in de gecodeerde pakketten staan om spoofing tegen te gaan. De enige keuze die je hebt is inderdaad kijken of je dat tele2 ding in bridging kunt krijgen. Of de combi tele2-router en ASA vervangen door een Cisco ADSL router die zowel de routering als de VPN tunnel op zich neemt. Die laatste combinatie gebruiken we ook bij een aantal van onze klanten. Een VPN tunnel opzetten tussen een Cisco router en een ASA is heel goed te doen.

Met die ASA's is het geen probleem om een Site to Site door een NAT heen op te zetten. Wel worden dan andere poorten gebruikt en je moet een vinkje aanzetten, maar het kan prima.

Vicariously I live while the whole world dies

zaterdag 28 januari 2012 22:13

Acties:

mati1983

Topicstarter

Allemaal bedankt voor julllie commentaar.. Even wat zaken behandelen

- Op client niveau hoeft niets ingesteld te worden.. Bij het specificeren van de tunnel geef je aan welke subnets er door de tunnel heen moeten, de ASA vangt dat vervolgens af..

- De instelmogelijkheden op de tele2 router zijn zeer beperkt.. Momenteel staat de ASA inderdaad in de DMZ, met als uitleg dat al het verkeer dat niet onder "virtual servers" gedefineerd is, naar de DMZ machine wordt doorgestuurd.. Ik vertrouw dat ding echter voor geen meter...

- @Vicarious:
Hmm interessant.. Welk 'vinkje' en ports zijn dat precies.. Weet je dat wellicht?

zaterdag 28 januari 2012 22:43

Acties:

Vicarious

☑Rekt | ☐ Not rekt

mati1983 schreef op zaterdag 28 januari 2012 @ 22:13:
Allemaal bedankt voor julllie commentaar.. Even wat zaken behandelen

- Op client niveau hoeft niets ingesteld te worden.. Bij het specificeren van de tunnel geef je aan welke subnets er door de tunnel heen moeten, de ASA vangt dat vervolgens af..

- De instelmogelijkheden op de tele2 router zijn zeer beperkt.. Momenteel staat de ASA inderdaad in de DMZ, met als uitleg dat al het verkeer dat niet onder "virtual servers" gedefineerd is, naar de DMZ machine wordt doorgestuurd.. Ik vertrouw dat ding echter voor geen meter...

- @Vicarious:
Hmm interessant.. Welk 'vinkje' en ports zijn dat precies.. Weet je dat wellicht?

Het vinkje heet NAT-T traversal en de poorten die gebruikt worden zijn 500 en 4500 udp. Tevens moet protocol 50 (PROTOCOL, dus niet POORT) worden toegestaan naar de ASA.

Vicariously I live while the whole world dies

zondag 29 januari 2012 18:59

Acties:

bazkar

protocol 50 hoeft niet als je NAT-T gebruikt (en inderdaad, zo heet het vinkje in de ASA).
Dat vinkje doet zogenaamde UDP encapsulation.

Korte samenvatting:

Een tunnel wordt opgezet met het IKE (Internet Key Exchange) protocol dat draait op UDP 500 (en die moet dus doorgeNAT worden naar je ASA door je Tele2 router).
Vervolgens worden in een normale situatie de payload pakketten van de IPSec tunnel gestuurd met het ESP (Encapsulated Security Payload) protocol, dit is het genoemde IP protocol (dus niet port) 50.
Het nadeel van ESP is echter dat het niet te NATten is (heeft te maken met het feit dat er man in the middle beveiliging in zit die ongeldig wordt na een NAT).
Hiervoor is dus NAT encapsulation of NAT traversal uitgevonden. Die pakt alle ESP pakketten in in een UDP of TCP pakket, dat WEL geNAT kan worden.

De meest gebruikte port voor NAT-T is UDP 4500, maar op een ASA kan in principe alles instellen wat je wilt.

Bottom line: stel op de ASA (aan beide zijden) in dat je NAT-T wilt doen (voor ASA OS 7 zie screenshot helemaal onder in deze post:

http://www.cisco.com/en/U..._procedures/asdml2tp.html)

Dan zou het allemaal prima moeten werken. protocol 50 wordt dus niet gebruikt en daar hoeft op de Tele2 dos niks voor te gebeuren.

Mocht het na NAT-T nog niet werken:
Wat je (helaas) echter soms ziet op die thuisrouters is een functie die IPsec passthrough (of zoiets) heet. Wat die doet is ESP pakketten encapsulaten in UDP port 4500. Super handig als je tunnel devices dit niet kunnen, maar het zit in de weg als je het zelf doet. Dus mocht het na NAT-T nog niet werken, zoek een dergelijk vinkje op je Tele2 doos en vink het uit.

zondag 29 januari 2012 23:18

Acties:

mati1983

Topicstarter

Bedankt voor de update..

Ik ga vroeg komende week weer even proberen!