將 AWS VPN 添加到存在通往另一個辦公室的 VPN 的 Cisco ASA 5515x

故事：我在總部有 Cisco ASA 5515x (10.9.1.0/24)，通過站點到站點 VPN 連接到辦公室 A

$$ 10.9.2.0/24 and 10.9.3.0/24 $$. 挑戰：我需要將 Cisco ASA 5515x 連接到 AWS VPN 以訪問 AWS 專用網路 (10.9.4.0/24) 以最終獲得以下設置：

AWS 私有網路 <–> 總部 <–> 辦公室 A

其中 HQ 和Office A應該能夠訪問 AWS 中的私有網路，反之亦然。

問題：AWS 提供的 Cisco 配置文件不適用於之前的場景，我嘗試更改配置文件以使其正常工作，但隧道仍然關閉，只有 Office A 隧道開啟。

我知道辦公室 A 路由器和總部路由器需要額外的配置才能將所有網路連接在一起，但我仍然無法在 ASA 和 AWS 之間建立隧道。

我應該怎麼做才能在現有 ASA VPN 上添加站點到站點 VPN？

我找到了解決問題的方法：

• 備份目前的 Cisco 配置，並將其保存在您的桌面和路由器的快閃記憶體中。
• 查看以下影片以獲取將乾淨的 Cisco ASA 連接到 AWS VPN 的步驟：https ://www.youtube.com/watch?v=GPPb2eHYciY
• 從 AWS VPN 下載路由器配置文件。
• 查找內外介面的名稱：

CISCO-ASA# 顯示界面

• 通過在特權模式下執行以下命令來查找 Cisco 路由器上的目前加密映射名稱：

CISCO-ASA# 顯示執行加密映射

結果顯示名稱為PNL-MAP且序列為1：

加密映射PNL-MAP 1匹配地址 VPN-BACKUP-TRAFFIC

• 將地圖名稱編輯為您目前的地圖名稱 ex PNL-MAP，然後將序列增加 1 ex 2crypto map PNL-MAP 2 match address acl-amzn crypto map PNL-MAP 2 set pfs group2 crypto map PNL-MAP 2 set peer xx.xx.xx.xx yy.yy.yy.yy crypto map PNL-MAP 2 set transform-set transform-amzn crypto map PNL-MAP 2 set security-association lifetime seconds 3600

• 編輯內外介面名稱：nat (inside_interface,outside_interface) 2 source static obj-SrcNet obj-SrcNet destination static obj-amzn obj-amzn

• 編輯配置文件以匹配您的 AWS VPC 網路和您的本地網路。

• 配置文件的其餘部分與第一步影片中的相同。

最後，您應該能夠從本地網路 ping AWS 實例，反之亦然。

引用自：https://serverfault.com/questions/863089