Pergunta : Acesso de IPSEC no ASA através da segunda conexão a internet

Eu tenho uma pergunta para o que parece ser uma pergunta não resolvida popular em relação a Cisco ASA (5510) e conexões a internet múltiplas (eth + cabo do portador).  o

How pode mim configurar o ASA para permitir conexões de entrada através da conexão a internet secundária do cabo (para coisas tais como IPSEC VPN ou o outro acesso baseado portuário)? o

First, eu configurei as rotas de estática por o rel= popular " nofollow " do " _blank " " do target= de " http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml do href= do o /products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml de http://www.cisco.com/en/US.  Este artigo sugere que as conexões de entrada exigem configuração avançada mas que os detalhes sobre este config avançado não são incluídos.  redundância do

On VPN por exemplo, eu dupliquei todo o IPSEC VPN setup para a relação secundária do Internet.  Quando eu tento testar VPN using o IP de estática do apoio entretanto, eu não posso conseguir o ASA permitir dentro o tráfego. o

Hints das perguntas um tanto relacionadas neste tópico sugere que os protocolos adicionais do roteamento sejam necessários, ou usuários externos do equilíbrio de carga/serviços ou a adição de um router de Cisco.  Nenhum explica claramente como começ simultaneamente a conexão de entrada em uma relação preliminar e secundária.  Se isto não é possível com apenas o ASA 5510 sozinho, que opções eu tenho? o desejo final do

My é fazer o failover do DNS para os serviços chaves serviços como SFTP, troca (443 e 25) e IPSEC VPN de modo que se a linha preliminar do Internet vai para baixo, os serviços exteriores não sejam inaccessible.

Thanks adiantado!
Aaron

class= do

Resposta : Acesso de IPSEC no ASA através da segunda conexão a internet

A meu conhecimento o ASA não tem a habilidade de falhar automaticamente sobre túneis do local-à-local de IPSec através de um ISP redundante que seja configurado como o artigo que de Cisco você lig.  Cisco tem um protocolo chamado DMVPN (VPN multipoint dinâmico) que permitiria este trabalho, mas aquele não é suportado no ASAs infelizmente.  

Agora para a configuração de cliente remota de VPN deve ser possível ter que trabalho corretamente quando você falhou sobre à ligação alternativa.  Se isso não está trabalhando então pode você por favor afixar seus config sanitized?

Como você planeia realizar o failover do DNS?  Você está indo usar um serviço que detete que seu ISP preliminar está para baixo e para distribuir então somente o apoio IPs?  Para o smtp de entrada um MX Record com um preliminar e secundário pode trabalhar muito bem, mas para outros serviços, este pode ser problemático.  

Uma solução que pode trabalhar é esta
- Ter seu ponto do escrivão aos usuários que de DNS você administra.  Se é configurado em um IP atribuído por ISP1, o outro em ISP2.
- Ter aqueles IPs NATed em seu guarda-fogo a ir a 2 usuários de DNS separados, estes hospedam seus registros do DNS do Internet
- Configurar suas entradas do DNS em cada usuário de modo que distribuam o IPs para o ISP que específico são relacionados a.  Isto é o usuário de DNS 1, NATed ao IP address ISP1, distribui o IPs para os serviços de entrada que são alocados por ISP1.  O usuário de DNS 2 distribui números do IP ISP2.
- O usuário de ISP2 DNS será non-accessible do Internet a menos que e até que ISP1 falhe e o ASA reorientar a rota da passagem de defeito, o usuário de DNS 2 distribui então o IPs, mas somente para que o IPs seja distribuído com ISP2, e assim através da conexão alternativa.

Igualmente eu pude indic que XroadsNetworks tem um dispositivo pode ser configurado atrás de seu ASA e facilita esta instalação muito. :)