Cisco ASA a DHCP Relay

zero

Ahoj,

nemáte někdo návod (a netuším vůbec, zda to jde), jak vnutit ASE při zapnutém DHCP Relay zdrojovou IP adresu, kterou to bude posílat unicastem na zvolený DHCP server?

DHCP Relay funguje ok, ale pokud spojím dvě ASY IPsec tunelem, kde na jedné straně mám pobočku s adresací např. 172.18.1.0/24 a na druhé Active Directory + DHCP + DNS server v síti 172.20.20.0/24, potřebuji, aby ten DHCP Relay se ptal toho DHCP svojí inside adresou (tj. 172.18.1.1) a ne outside veřejkou. Pak to logicky nejde do tunelu. Koukal jsem po netu a jsou nějaké řešení s použitím NATu, ake nepodařilo se mi to rozběhat. Na druhou stranu, pokud sem připojil do té LANky 172.18.1.0/24 Mikrotika 750ku, dal mu IP adresu 172.18.1.220, nastavil DHCP Relay na ten server 172.20.20.2, tak se to chytlo okamžitě :(

Díky za tipy.

majklik

Ten krám nemá klasické " ip dhcp-relay source-interface"... Nemělo by dělat něco stejného u něj "dhcprelay setroute inside", pro tento případ? Něco jako:

dhcprelay server 172.20.20.2 outside

dhcprelay enable inside

dhcprelay setroute inside

I když s tím IPsecme to možná nejde? dle popisu to vyrábí specifickou routu a asi dojde na uplatnění IPsec policy dříve, než se uplatní routa?

zero

Tohle jsem vše nastavil. Problém bude asi v tom, že to použije jako scr adresu tu veřejku, pokud to směruju na ten outside iface. Úplně to ignoruje nastavení crypto (že tam ten server nebo rozsah je zadanej). Chová se to tak, jako by tam ten tunel vůbec nebyl.

Zkoušel jsem to nastavit podle tohodle: :(

Buďto je to nějakou starou verzí iOS /tuším 8.2/ nebo něco dělám špatně. Další věc ovšem je, že tohle zatím zkoušíme v labu a ve praxi bude místo té centrální ASY Fortigate krabice (kvůli web filteringu, proxy, atd). Takže ve výsledku bude vše jinak.. a Bůh ví :)

Ještě mě napadlo.. na každé pobočce je Catalyst 2960SI...umí to DHCP relay, když to není L3?

edit: Tak jsem našel nějakej example - :( (i když se mi to osobně moc nezdá, že to na té L2ce půjde nastavit)

Díky