Na poslu sam naisao na jedan problem sa Cisco PIX-e, tacnije sa uspostavljanjem dva IPSec tunela (LAN-to-LAN) sa drugom firmom (nazvacemo je FIRMA B).
Evo o cemu se radi ...
Sve do neki dan, moja firma je imala IPSec tunel prema toj drugoj FIRMI B, LAN-to-LAN koji se koristio da radne stanice sa privatne mreze te druge firme, pristupaju jednom nasem serveru na nasoj privatnoj mrezi ... klasicno IPSec peering i sve je funkcionisalo OK.
Medjutim, sad je ta firma zakupila dodatni Internet link tako da sad koristi redundantni izlaz na javni internet i zeli da i preko tog redundantnog linka (razlicit firewall) ostvari drugi IPsec tunel prema nasoj mrezi LAN-to-LAN. Problem je sto mi nemamo dva izlazna firewall-a na kao oni.
Znaci FIRMA B ima dva izlazna firewall-a. Firewall 1 se koristi kao ISAKMP Peer u vec postojecem tunelu, dok se drugi Firewall treba koristiti kao ISAKMP Peer za novi, dodatni tunel. LAN mreza FIRME_B znaci moze da izlazi na javnu mrezu preko ta dva FIREWALL-a.
Moja firma ima samo jedan izlazni firewall, Cisco PIX 515e, i njegova javna adresa se koristi kao ISAKMP peer u oba tunela (gledano sta strane FIRME B).
Znaci treba da postoje dva IPSec tunela na LAN FIRME_B i to:
1. tunel: formiran izmedju naseg_FIREWALL-a i Firewall-a_1 FIRME_B
2. tunel: formiran izmedju naseg FIREWALL-a i Firewall-a_2 FIRME_B
Saobracaj treba da bude load balance ili da se jedan tunel korisdti kao primarni a drugi kao sekundarni.
Na NASEM FIREWALL-u postoji staticka outside ruta na LAN FIRME B gdje je NEXT HOP jednak IP adresi FIREWALL_1 sa defaultnom administrativnom distancom 1.
Pokusao sam da dodam jos jednu rutu na LAN FIRME B gdje bi NEXT HOP bio jednak IP adresi FIREWALL_2 sa istom Administrativnom distancom 1 ali mi to PIX ne dozvoljava, tako da kad nasi serveri iniciraju podizanje tunela, uvijek saobracaj ide preko vec postojeceg tunela, tj na FIREWALL_1 FIRME B. Do sada nisam pronasao nacin kako da se koristi i drugi tunel ako npr prvi tunel otkaze.
Ima li neko ideju kako da napravim, uzimajuci u obzir postojecu topologiju, da mogu da koristim i drugi IPSec tunel kao LOAD BALANCE ili da se drugi tunel koristi kao backup u slucaju da prvi tunel ne radi?????
Na netu sam nasao sledece: http://itknowledgeexchange.tec...tanswers/pix-firewall-problem/ gdje se navodi da nesto takvo (load balance na PIX-u) nije moguce. Da li neko mozda zna rjesenje ili se susreo vec sa slicnim problemom???
Hvala unaprijed!!!
[Ovu poruku je menjao gogo82 dana 19.05.2011. u 20:02 GMT+1]
[Ovu poruku je menjao gogo82 dana 19.05.2011. u 21:25 GMT+1]
Pozdrav!
Gogo82
Gogo82