hegl 10 Geschrieben 14. Oktober 2009 Melden Geschrieben 14. Oktober 2009 Wir müssen von einer Aussenstelle, deren traffic komplett in den Tunnel zur Zentrale geschickt ird, einen weiteres VPN zu einem Partner aufbauen. Da dies auschließlich von der Aussenstelle benötigt wird, möchte ich den Tunnel auch von dort aufbauen und kein Hub and Spoke über die Zentrale. Was ich nun nicht mehr weiß ist, wie das jetzt prioritätsmäßig abgehandelt wird. Bist dato habe ich ja nur eine ACL mit any. Wenn ich nun einen weiteren Tunnel aufbauen möchte und für den Zugriff ins Netz A.B.C.D eine ACL erstelle, wie entscheidet die ASA, dass dieses Netz auch über den entsprechenden Tunnel erreicht wird und nicht über den Tunnel zu unserer Zentrale?
blackbox 10 Geschrieben 14. Oktober 2009 Melden Geschrieben 14. Oktober 2009 Hi, berechtigte Frage - habe ich noch nicht ausprobiert - aber ich könnte mir denken das es wie beim "normalen" Routing ist und das es evtl. in der IPSEC Table Höher stehen sollte.
Otaku19 33 Geschrieben 14. Oktober 2009 Melden Geschrieben 14. Oktober 2009 Ich würde die crypto-map entsprechend anpassen, also das VPN wo nur bestimmte Netze bei dm "fremdVPN" erreichbar sein sollen mit niedrigerer Sequenznummer als dein any richtung Zentrale. Lässt sich aber easy im GNS3 nachstellen
hegl 10 Geschrieben 15. Oktober 2009 Autor Melden Geschrieben 15. Oktober 2009 Hmm, m.E. hat diese Sequenz-Nr. nichts mit einer Priorität zu tun - oder irre ich da? Bei der isakmp-policy spielt die Sequenz-Nr. doch eine Rolle, z.B. für RA. GNS3 habe ich (noch) nicht im Einsatz, werde wohl auch mal damit rumspielen müssen....
Otaku19 33 Geschrieben 15. Oktober 2009 Melden Geschrieben 15. Oktober 2009 nein, wenn eine anfrage von aussen gemacht wird dann wird die crypto map entsprechend der sequenznummer nach unten durchgearbeitet bis ein passender eintrag gefunden wird
hegl 10 Geschrieben 16. Oktober 2009 Autor Melden Geschrieben 16. Oktober 2009 Grundsätzlich stimme ich Dir zu, aber bei RA sollte die Sequenz-Nr. immr die höchste sein. Sieht man eigentlich auch daran, dass der ASDM automatisch die 65535 vergibt - bei Einrichtung über den VPN-Wizzard. Als ich bei der PIX noch alles über die CLI konfiguriert habe, bin ich damit mal uf die Nase gefallen, als ich für RA eine niedrigere Sequenz angegeben hatte als für eine L2L. Da funktionierte RA nämlich eher gar nicht.
Otaku19 33 Geschrieben 16. Oktober 2009 Melden Geschrieben 16. Oktober 2009 wo siehst du hier eien Anforderung nach RA ? Ich sehe hier 2 L2L
hegl 10 Geschrieben 16. Oktober 2009 Autor Melden Geschrieben 16. Oktober 2009 wo siehst du hier eien Anforderung nach RA ? Ich sehe hier 2 L2L Jepp, hast ja recht, hatte Dich falsch verstanden. :o Egal jetzt, ich werde das - wenn ich ein wenig Luft habe - nachstellen und dann berichten.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden