yannosch
Goto Top

SiteToSiteVPN PaloAlto und Cisco ASA5505

Hallo zusammen,

folgende Konstellation:

Standort 1:
Palo Alto PA-200 Firewall mit End-to-Site Client-VPN [Verbindung mit Global Protect Agent]
Davor: Telekom Gerät für 10 Mbit/s CompanyConnect

Standort 2:
Cisco ASA5505 mit End-to-Site Client-VPN [Verbindung mit Shrew-Soft-VPN-Client]
Davor: Kevag Kabelmodem Thompson 100 Mbit/s Anschluss

Soll-Zustand:
IPsec Site-to-Site-VPN zwischen den beiden Geräten/Standorten.
Jeder Standort sollte zum surfen den jeweils eigenen Internetzugang nutzen.

End-To-Site war bisher kein wirkliches Problem bei mir - nur habe ich noch kein Site-To-Site aufgebaut.

  • Auf was sollte ich noch achten was die Umsetzbarkeit betrifft?

  • Ist es überhaupt möglich ein zuverlässiges Site to Site zwischen den beiden Geräten aufzubauen?

  • Benötige ich für die Cisco eine neuere Lizenz? [Derzeit habe ich hier die Base Lizenz mit 50 Inside Hosts]
asa5505

  • Wie würdet ihr vorgehen eine stabile und zuverlässige Site-to-Site Verbindung herzustellen? Die ASA durch eine zweite PA ersetzen, damit die Kompatibilität gewährleistet ist?

  • Kennt jemand vielleicht ein zuverlässiges Tutorial welches für genau mein Szenario ausgelegt ist?

bin für jeden Tipp dankbar!

liebe Grüße
Yannosch

Content-ID: 352681

Url: https://administrator.de/forum/sitetositevpn-paloalto-und-cisco-asa5505-352681.html

Ausgedruckt am: 23.12.2024 um 18:12 Uhr

aqui
aqui 24.10.2017 aktualisiert um 10:44:48 Uhr
Goto Top
Davor: Telekom Gerät für 10 Mbit/s CompanyConnect
Hier mal wieder die obligatorische Frage weil mal wieder nicht beschrieben: WAS ist das ??
  • reines Modem = öffentliche Provider IP an der Palo Alto
  • Ein transparenter Router OHNE NAT der ein öffentliches Subnetz oder IP auf die PA routet
  • Ein NAT Router sprich das design arbeitet in einer Router Kaskade ?
Davor: Kevag Kabelmodem Thompson 100 Mbit/s Anschluss
Auch hier wieder dieselbe Leier:
  • Ist das ein reines Modem, d.h. Provider IP an der ASA ?
  • Ist das Modem doch ein Router also Kaskade mit doppeltem NAT ?
Das ist essentiell wichtig zu wissen, denn ein NAT Router VOR den beiden Firewalls die NAT machen blockieren per default wesentliche Anteile der IPsec Protokoll Suite (UDP 500, 4500 und ESP Protokoll) so das in einem klassichen Kaskaden Design mit NAT kein IPsec VPN Tunnel zustande kommen würde.
Das solltest du also dringenst technsich genau klären !!!
Wenn es irgendwo eine Router Kaskade mit NAT sein sollte musst du dafür sorgen das UDP 500, 4500 und ESP vom davor kaskadierten Router per Port Forwarding auf die FW weitergeleitet werden.
Für die Details in so einem Kaskaden Design guckst du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Mit reinem Modem oder transparentem Router entfällt dieser Zwang natürlich.

Zu deinen Fragen:
Auf was sollte ich noch achten was die Umsetzbarkeit betrifft?
Auf das obige und das beide Seiten IPsec im Agressive Mode als VPN Protokoll supporten.
Ist es überhaupt möglich ein zuverlässiges Site to Site zwischen den beiden Geräten aufzubauen?
Natürlich ! IPsec ist ein weltweiter Standard und wenn beide Seiten es supporten ist das logischerweise problemlos möglich. Du fragst ja auch nicht ob dein Auto auch englisches oder italienisches Superbenzin verträgt, oder ?
Benötige ich für die Cisco eine neuere Lizenz?
Nein, ist alles onboard !
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-ne ...
damit die Kompatibilität gewährleistet ist?
Ist natürlich Quatsch ! IPsec ist ein Standard wo jeder mit jedem kann. Siehe Benzin oben oder lies bitte dieses Tutorial dazu:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Was die können kann auch die PA und Cisco allemal !
Kennt jemand vielleicht ein zuverlässiges Tutorial
Guckst du hier:
https://blog.webernetz.net/2014/01/27/ipsec-site-to-site-vpn-palo-alto-c ...
Einfach nur abtippen oder via Klicki Bunti.
Yannosch
Yannosch 24.10.2017 um 10:55:39 Uhr
Goto Top
Zitat von @aqui:

Davor: Telekom Gerät für 10 Mbit/s CompanyConnect
Hier mal wieder die obligatorische Frage weil mal wieder nicht beschrieben: WAS ist das ??
  • reines Modem = öffentliche Provider IP an der Palo Alto
  • Ein transparenter Router OHNE NAT der ein öffentliches Subnetz oder IP auf die PA routet
  • Ein NAT Router sprich das design arbeitet in einer Router Kaskade ?

reines Modem mit öffentlicher Provider IP an der Palo Alto

Davor: Kevag Kabelmodem Thompson 100 Mbit/s Anschluss
Auch hier wieder dieselbe Leier:
  • Ist das ein reines Modem, d.h. Provider IP an der ASA ?
  • Ist das Modem doch ein Router also Kaskade mit doppeltem NAT ?
Das ist essentiell wichtig zu wissen, denn ein NAT Router VOR den beiden Firewalls die NAT machen blockieren per default wesentliche Anteile der IPsec Protokoll Suite (UDP 500, 4500 und ESP Protokoll) so das in einem klassichen Kaskaden Design mit NAT kein IPsec VPN Tunnel zustande kommen würde.

auch hier ein reines Kabelmodem mit Provider IP an der nachfolgenden ASA5505.

Das solltest du also dringenst technsich genau klären !!!

Ich habe ja an beiden Standorten das Client-To-Site VPN am laufen. Auch mittels ipsec

Wenn es irgendwo eine Router Kaskade mit NAT sein sollte musst du dafür sorgen das UDP 500, 4500 und ESP vom davor kaskadierten Router per Port Forwarding auf die FW weitergeleitet werden.

Werde ich sicherheitshalber nochmal bei der Telekom erfragen ... sollten die überhaupt auf solche Fragen antworten können face-big-smile

Für die Details in so einem Kaskaden Design guckst du hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Mit reinem Modem oder transparentem Router entfällt dieser Zwang natürlich.

Zu deinen Fragen:
Auf was sollte ich noch achten was die Umsetzbarkeit betrifft?
Auf das obige und das beide Seiten IPsec im Agressive Mode als VPN Protokoll supporten.

Es supporten beide Seiten den aggrassive Mode ... nur Main Mode sollte doch auch möglich sein?....

Ist es überhaupt möglich ein zuverlässiges Site to Site zwischen den beiden Geräten aufzubauen?
Natürlich ! IPsec ist ein weltweiter Standard und wenn beide Seiten es supporten ist das logischerweise problemlos möglich. Du fragst ja auch nicht ob dein Auto auch englisches oder italienisches Superbenzin verträgt, oder ?
Benötige ich für die Cisco eine neuere Lizenz?
Nein, ist alles onboard !
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-ne ...

Okay - super! Danke dir...

damit die Kompatibilität gewährleistet ist?
Ist natürlich Quatsch ! IPsec ist ein Standard wo jeder mit jedem kann. Siehe Benzin oben oder lies bitte dieses Tutorial dazu:
IPsec VPN Praxis mit Standort Vernetzung Cisco, Mikrotik, pfSense, FritzBox u.a
Was die können kann auch die PA und Cisco allemal !
Kennt jemand vielleicht ein zuverlässiges Tutorial
Guckst du hier:
https://blog.webernetz.net/2014/01/27/ipsec-site-to-site-vpn-palo-alto-c ...
Einfach nur abtippen oder via Klicki Bunti.

Okay ich werde es sicherheitshalber auf das Wochenende verlegen, damit ich hier im laufenden Betrieb nichts zerschieße...

Vielen Dank für deine Tipps bis hierher ... sollte es noch Fragen geben melde ich mich einfach nochmal in diesem Thread.
aqui
aqui 24.10.2017 aktualisiert um 11:44:31 Uhr
Goto Top
Werde ich sicherheitshalber nochmal bei der Telekom erfragen
Musst du nicht unbedingt.
Wenn du an beiden Firewalls am WAN Port die öffentliche Provider IP hast ist das OK. Dann kann man davon ausgehen das kein NAT gemacht wird und du damit dann auch keinerlei Port Forwarding irgendwo machen musst. Das sind dann eigentlich sehr gute Vorausetzungen das es problemlos klappt.
nur Main Mode sollte doch auch möglich sein?....
Technisch ja, sollte man in heterogenen Umgebungen wie bei dir aber besser nie machen. Agressive Mode ist hier also ein Muß für dich.
Dann viel Erfolg ! Feedback wär mal ganz spannend face-wink
Yannosch
Yannosch 24.10.2017 um 12:10:51 Uhr
Goto Top
Zitat von @aqui:

Werde ich sicherheitshalber nochmal bei der Telekom erfragen
Musst du nicht unbedingt.
Wenn du an beiden Firewalls am WAN Port die öffentliche Provider IP hast ist das OK. Dann kann man davon ausgehen das kein NAT gemacht wird und du damit dann auch keinerlei Port Forwarding irgendwo machen musst. Das sind dann eigentlich sehr gute Vorausetzungen das es problemlos klappt.

Das ist in der Tat so bei beiden Firewalls.

nur Main Mode sollte doch auch möglich sein?....
Technisch ja, sollte man in heterogenen Umgebungen wie bei dir aber besser nie machen. Agressive Mode ist hier also ein Muß für dich.

Okay, dann stell ich es eben auf Aggressive um - kein Problem

Dann viel Erfolg ! Feedback wär mal ganz spannend face-wink

Ein "Testszenario" gibt es da ja wohl eher nicht ... oder? Weil ich will ungern im Live-Betrieb an den Dingern schrauben ... dann eher auf das WE legen oder wie würdest du da vorgehen?

Welche Frage ich dann noch hätte:
Bei der PA gibt es solche Virtuellen Router die beim anlegen des Tunnelinterface mitgegeben werden müssen.

Da existiert bereits einer für meine VPN-Client Umgebung die auf der PA Läuft.

Lieber noch einen eigenen für das Site-to-Site anlegen oder kann ich denselben nehmen?

Danke bis hierher - Feeback kommt natürlich wenn alles funktioniert ...

LG Yannosch
aqui
aqui 24.10.2017 aktualisiert um 15:24:29 Uhr
Goto Top
Ein "Testszenario" gibt es da ja wohl eher nicht ... oder?
Doch natürlich. Besorge dir 2 Demo Geräte und baue das auf und teste das. Was hindert dich ??
Wenn du die nicht hast und es auf den Live Geräten machen musst dann solltest du das in der Tat nach Feierabend machen.
Allerdings wirst du den Protduktivbetrtieb ja niemals stören.
Den Tunnel gibt es ja noch gar nicht...also grüne Wiese für dich. Schlimmstenfalls kommt der VPN Tunnel nicht zustande und da du an der bestehen Konfig ja nichts fummelst was soll da also passieren ??
Theoretisch kann man es also auch problemlos im Live Betrieb machen.
Aber du weißt ja...Murphy lauert überall. Um nicht unter Druck zu geraten ist es also sinnvoller das zu betreibsarmen Zeiten zu machen.
oder kann ich denselben nehmen?
Besser nicht. Den lass mal lieber separat die Clients bedienen. Das hat sicher einen Sinn mit der Virtualisierung und das Site2Site solltest du besser auf ein separates virtuelles System legen. Denk an den Live Betrieb den du nicht ärgern willst... face-wink