Сеть Site-to-Site VPN на Cisco ASA

Сеть Site-to-Site VPN на Cisco ASA, UniFi Network

solsen86

Guest

06.06.2016 23:08:00

У меня новый UniFi Security Gateway Pro, и я пытаюсь настроить site-to-site VPN с моим центральным офисом, где маршрутизацией занимается Cisco ASA. Я перелопатил форумы в поисках информации, как правильно настроить VPN, чтобы всё заработало. Cisco отправляет трафик, а USG не отвечает. Документации по USG Pro мало, и я уже довольно расстроен. Вот моя текущая конфигурация VPN:

ipsec {
auto-firewall-nat-exclude enable
esp-group ESP_UTN {
compression disable
lifetime 3600
mode tunnel
pfs enable
proposal 1 {
encryption aes256
hash sha1
}
}
ike-group IKE_UTN {
key-exchange ikev2
lifetime 28800
proposal 1 {
dh-group 5
encryption aes256
hash sha1
}
}
ipsec-interfaces {
interface eth2
}
nat-networks {
allowed-network 0.0.0.0/0 {}
allowed-network 192.168.63.0/24 {}
}
nat-traversal enable
site-to-site {
peer 205.121.186.57 {
authentication {
mode pre-shared-secret
pre-shared-secret <preshared key>
}
connection-type initiate
ike-group IKE_UTN
local-address <Static WAN IP>
tunnel 0 {
esp-group ESP_UTN
local {
prefix 172.18.220.0/23
}
remote {
prefix 192.168.63.0/24
}
}
}
}
}

Буду признателен за любую помощь. Нужно запустить этот сайт как можно скорее.

MideyeAB Guest	#2 01.09.2017 14:46:00 Так это все еще открытая проблема? Мне удалось быстро настроить туннель между USG и ASA5515-x. Готов поделиться своей конфигурацией, если кому-то интересно.

-sg Guest	#3 20.07.2017 20:22:00 Возобновляю эту тему. Мне удалось настроить туннель, но я не могу пропустить через него трафик. Хотелось бы узнать, кто-нибудь уже успешно справился с этим.

Gymtech

Guest

01.08.2016 09:30:00

Привет, Solsen. Жаль слышать, что у тебя не получилось (хотя, честно говоря, я не особо удивлён). Спасибо, что нашёл время ответить, я очень ценю это. Мы купили нормальное оборудование Cisco. По крайней мере, оно соответствует тому, что обещают.

scorto Guest	#5 16.04.2018 08:42:00 Спасибо! Я разобрался с проблемой. Нужно было добавить ещё один маршрут и отметить галочку «исключить сеть из NAT». Большое спасибо за помощь.

KevSex

Guest

10.04.2018 19:13:00

@scorto

Смотри ниже Group Policy. Что касается USG firewall, я не настраивал никаких правил, единственное изменение в USG — детали VPN-сети.

Когда запускаешь трассировку пакетов с ASA, показывается ли попытка поднять туннель? Отмечает ли трафик как «интересный»? Что показывает syslog ASA?

scorto Guest	#7 09.04.2018 14:17:00 Привет, @KevSex, я пытаюсь сделать то же самое, но до сих пор не могу поднять туннель. Не мог бы ты поделиться, что у тебя настроено в Group Policy на ASA и во вкладке firewall на USG?

KevSex

Guest

27.03.2018 19:44:00

Привет, у меня налажено Site-to-Site соединение между USG и ASA 5505. Изначально настроено с помощью IKEv1, но недавно переключился на IKEv2. Ниже скриншоты с обеих сторон, если это поможет. Просто помни, что на стороне ASA нужно иметь соответствующее правило для исключения из NAT.

@rntaylor8

Похоже, у тебя проблемы с повторным ключом (re-key). Проверь значения для повторного ключа ещё раз. Если через туннель передаётся большой объём данных, ASA будет делать повторный ключ после передачи определённого количества байт. Тебе нужно поставить галочку «неограниченно» (unlimited) для объёма трафика (Traffic Volume) в настройках фазы 2, чтобы повторный ключ происходил только по истечении времени жизни SA. Удачи, Kev.

rntaylor8

Guest

27.03.2018 18:57:00

Мне было бы интересно узнать о конфигурации MidEyeAB для ASA и USG. У меня тоже всё настроено, но проблема в том, что VPN-соединение периодически прерывается в течение дня, из-за чего падают все RDP-сессии, а потом соединение восстанавливается. Это просто сводит меня с ума. Заранее спасибо, Райан.

odysseyutah Guest	#10 05.01.2018 22:59:00 Пожалуйста, поделитесь вашей конфигурацией. Я пытаюсь подключить наш Cisco ASA к USG Pro, но пока не получается соединиться.

Ubiquified Guest	#11 05.09.2017 14:33:00 Возможно, это не очень полезно, но у меня так и не получилось настроить IKE2, работает только IKE1 на устройствах как USG, так и не USG.

-sg Guest	#12 05.09.2017 14:22:00 Пожалуйста, поделитесь. Я могу начать работу над USG PRO, но не над USG. Те же настройки.

Osberg Guest	#13 02.09.2017 21:14:00 Привет, MideyeAB, это было бы здорово. Я пытаюсь настроить свой USG для работы с сайто-сайт соединением с моим ASA5555 на работе.

solsen86

Guest

#14

28.07.2016 14:15:00

Нет, я так и не смог это разобраться. Когда я связался с поддержкой, они сказали, что не могут помочь с настройкой моего устройства. Мне показался этот ответ слабым, ведь это одна из ключевых функций устройства. Я ввёл всё, что требовалось для настроек IPsec, но оно так и не заработало. Единственная причина, почему я его купил — потому что на сайте в службе продаж обещали, что оно будет работать. Так что теперь я в одной лодке с вами. Устройство лежит на моём файловом шкафу, прижав бумаги и собирая пыль.

Gymtech Guest	#15 28.07.2016 07:05:00 Привет, Solsen86 и bkuhn! У меня та же самая проблема. Слышал от нескольких источников, что это общая беда с версией Vyatta от Ubiquiti. Вы хоть как-то смогли заставить свои устройства работать? Я написал самое длинное в своей жизни письмо с жалобой и отправил в магазин, где покупал этот ERPRO-8 (EdgeRouter Pro), но это просто кусок железяки… ну, в общем, сами понимаете. Возврат мне не одобрили. Сейчас смотрю в сторону Cisco... ведь с ними всё четко работает, да и поддержки полно! В общем, если вы как-то разобрались с настройками VPN на этих приборах, буду очень признателен. Я перерыл все форумы на этом и других сайтах про VPN, Site-to-Site, IPsec, Firewall/VPN, и ни в какую не могу заставить это работать (да, у меня получилось всё поднять на пару дней, пока туннель не умер из-за отключения электроэнергии). Сейчас мне просто нужен рабочий конфиг с указанием версии ОС (пробовал много разных, без результата). Если уж ничего не выйдет, хотя бы будет самый стильный груз для бумаги или табуретка в кабинете.

Читают тему (гостей: 1)