Cisco ASA 5505 - 1x VPN / 1x Internet

[Tridensium 10]

Hallo,

 

ich habe eine Frage an die Cisco-Profis hier im Board.

 

Ich möchte gern 2 Standorte via VPN verbinden und zusätzlich pro Standort den Internettraffic über eine zweite DSL-Verbindung realisieren.

 

Grundsätzlich stellt sich mir die Frage, ob dies mit nur einer Cisco ASA 5505 pro Standort realisieren lässt oder ich eine zweite Cisco ASA bzw. zusätzliche Hardware benötige.

 

Ich habe bei meiner Recherche auch ein paar Informationen zu Policy Based Routing in Verbindung mit der ASA gelesen, jedoch waren dies größtenteils Workarounds.

 

 

Danke für eure Hilfe.

 

 

Grüße

Tridensium

[blackbox 10]

Hi,

 

die ASA unterstützt "definitv" kein Policy Based Routing - da muss man einen Router nehmen. Du kannst so eine "Bastel" Lösung mit der ASA mit vielen Tricks bauen - ich kann aber eigenlich davon nur abraten - den die erste Hüre sind ja die beiden "Default" Gateways - spätestens wenn du PPPoE hast. Da ist ein Router definitv sinnvoller - und er kann auch mache sachen einfach "besser".

[Tridensium 10]

Vielen Dank für die Antwort.

 

Welche Geräte würdest du denn empfehlen?

Hardwarerouter oder einen Server als Router?

 

Standort A: 40 Clients

Standort B: 6 Clients

 

Wären folgende Geräte dafür geeignet?

http://www.cisco.com/en/US/prod/collateral/routers/ps9923/ps9924/data_sheet_c78-501223_de.pdf

FVS336G

831A - Überblick - LANCOM Systems

 

Vom Konzept her würde ich dann jeweils einen Router pro Standort mit 2 WAN-Anschlüssen (via PPPoE mit Modem) anschließen und dann entsprechend das Routing so konfigurieren, dass VPN via DSL 1 und der Rest via DSL 2 läuft.

Soweit oder noch ein Denkfehler dabei?

 

Grüße

Tridensium

[blackbox 10]

Hi,

 

zu den "Linksys" Cisco Geräten kann ich dir leider nichts sagen - da ich nur die IOS Geräte kennen. Dann kann es eigentlich jeder IOS Router wenn er genügend Ports hat.

[Otaku19 33]

welche Bastelei ? Auf den "VPN DSL Router" schickt man nur die Netze der encryption domains per statischen Routen, default GW geht auf den Internetrouter,fertig.

[Tridensium 10]

So ein ähnlicher Ansatz kam mir auch noch...

Kann man ein zweites Interface in der ASA so konfigurieren, dass es über PPPoE eine zusätzliche Internetverbindung aufbaut und dann der ASA via Routing sagen, dass Pakete in das entsprechende VPN-Netz über die 2. Internetverbindung gesendet werden?

 

Wäre noch eine andere Variante, folgendermaßen möglich...

Pro Anschluss eine ASA 5505, statische Route in´s VPN-Netz via DHCP verteilen?

[Otaku19 33]

ah, an das hab ich nicht gedacht, 2 PPPoE Einwahl bin ich nicht sicher, bekommst ja dann auch 2 Defaultgateways zugewiesen. Dachte4 eher daran das dei Modems schon die Einwahl machen und du ein Linknetz zu beiden hast

[blackbox 10]

Hi, das mit dem PPPoE hatte ich ja auch schon als Problem gesehen - war über deine Idee verwundert. Das wird nix auf der ASA. Ich bleibe bei "Bastellösung".

[metastabil 10]

Die ASA hat schon vorteile ich würde da auch eine Bastellösung bevorzugen sowie blackbox dieses beschrieben hat.

[Tridensium 10]

Um das Thema abzuschließen...

 

Ich habe jetzt 2 ASAs im Betrieb, Default Route geht in´s Internet, 2. Route in´s VPN-Netz, funktioniert bisher ohne Probleme.

Verteilung der Routen erfolgt via DHCP-Server, bei statischen IPs fest eingetragen.

Geht sicherlich auch eleganter, aber funktioniert soweit.