Fråga : IPSEC tar fram in i ASA via understöder internetanslutning

Jag har en ifrågasätta för vad verkar för att vara ett populärt olöst ifrågasätter att förbinda till Cisco ASA (5510) och multipelinternetanslutningar (bärareeth + kabel).  

How kan mig konfigurera ASAEN för att låta för inbound anslutningar via den sekundära kabelinternetanslutningen (för saker liksom IPSEC baserade VPN eller annan port tar fram)?

First, har jag konfigurerat statisk elektricitetruttarna per den populära för http://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml " för href= för den Cisco artikel http://www.cisco.com/en/US /products/hw/vpndevc/ps2030/products_configuration_example09186a00806e880b.shtml.  Denna artikel antyder att inbound anslutningar kräver den avancerade konfigurationen men det specificerar avancerade config inte är härom inklusive.  överflöd för

On VPN for example, har jag duplicerat all IPSEC VPN ställer in för de sekundära internet har kontakt.  När I-försök att testa VPN using statisk elektricitetIPEN av reserven emellertid, mig inte kan få ASAEN för att låta trafikera in.

Hints från något släkt ifrågasätter på detta ämne föreslår att extra sändningsprotokoll är nödvändiga, eller utsidan laddar balansera serveror/servar eller tillfoga en Cisco router.  Inget förklarar klart hur man får den inbound anslutningen samtidigt på både ett primärt, och sekundärt ha kontakt.  Om denna inte är möjligheten med precis ASAEN 5510 bara, vilka alternativ jag har? ultimat lust för

My är att göra DNS-failover för nyckel- servar sådan servar som SFTP, utbytet (443 och 25), och IPSEC VPN, så att, om de primära internet fodrar, går, besegrar, utanför servar ska för att inte vara inaccessible.

Thanks i förskott!
Aaron

" klar "

Svar : IPSEC tar fram in i ASA via understöder internetanslutning

Till min kunskap ASAEN har inte kapaciteten automatiskt att missa över IPSec placera-till-placerar tunneler till och med en överflödig ISP som är den konfigurerade något liknande den Cisco artikeln som, du anknöt.  Cisco har ett protokoll som kallas DMVPN (dynamisk VPN med många punkter) som skulle låter detta arbete, men det inte stöttas på ASAsen tyvärr.  

Nu för avlägsen VPN-beställarekonfiguration det bör vara möjligheten som har det arbete korrekt, när du har missat över till reserven anknyter.  Om det inte är funktionsdugligt därefter kan dig behaga postar dina sanitized config?

Hur du planerar för att utföra DNS-failover?  Du går att använda ett tjänste- som ska avkänner att din primära ISP är besegrar och därefter räcker endast ut reserven IPs?  För inbound SMTP ett MX Record med ett primärt och sekundärt kan fungera fint, men för annat servar, detta kan vara problematiskt.  

En lösning, som kan fungera, är denna
- Ha din regitrator att peka till DNS-serveror som du förvaltar.  Man konfigureras på en IP som tilldelas av ISP1, annan på ISP2.
- Ha de IPs NATed på din firewall som går till 2 separata DNS-serveror, dessa varar värd dina internetDNS-rekord
- Konfigurera dina DNS-tillträden på varje server, så att de räcker ut IPsen för närmare detaljISPEN som de förbinds till.  Dvs. DNS-server 1, NATed till IPet address ISP1, räcker ut IPs för inbound servar som tilldelas av ISP1.  Dns-server 2 räcker IP ISP2 numrerar ut.
- Serveren för ISP2 DNS ska är non-accessible från internet, om inte och till kuggningar ISP1 och ASAEN omdirigerar rutten för standardnyckeln, DNS-server 2 räcker därefter ut IPs, men endast för att IPsen sänds till och med ISP2 och thus till och med den reserv- anslutningen.

Också jag kan pekar ut att XroadsNetworks har en apparat kan konfigureras bak din ASA och gör denna att ställa in ett lättare lott. :)