Hallo,
Ik probeer OSPF zo te configureren dat mijn VPN-concentrator (Firepower 2100) mijn VPN-adrespools adverteert. Maar na vele web searches en tests, kom ik nauwelijks meer ideeën. Ik dacht eraan om een loopback-interface te maken met hetzelfde subnet, maar die interfaces ondersteunen geen ospf op mijn Firepower…
Ik wil dynamische routing hebben voor redundantie. Ik heb een secundaire VPN-concentrator en ik kan geen cluster maken vanwege verschillende redenen. Dus ik wil dat beide VPN-concentrators dezelfde subnets adverteren = VPN-adrespools met verschillende kosten. Op deze manier, als de primaire uitvalt, zullen de gebruikers aansluiten bij de secundaire en wordt hun verkeer daar naartoe gerouteerd.
Hier is een diagram van de situatie (er staat een typfout, het VPN IP-adres moet 10.10.10.2 zijn):
Diagram van de situatie
Moet ik misschien een ander routingprotocol gebruiken of ken je andere manieren om de VPN-adrespools te adverteren?
Bedankt alvast voor je waardevolle hulp!
Laat me weten of je meer info nodig hebt.
Maak een route voor de VPN-subnetten naar Null0 met een administratieve afstand van 250.
Distribueer nu die route in OSPF.
Ik heb dit geconfigureerd op FPR2110 met FTD-code, werkt perfect.
Nogmaals bedankt Bernard! Het werkt 
Voor de mensen die hetzelfde probleem hebben als ik, hier is wat je moet doen:
(bewerking: kijk op https://www.reddit.com/r/Cisco/comments/1438v56/comment/jnayoyz/?utm_source=share&utm_medium=web2x&context=3)
Je moet reverse route injection gebruiken en de routes in OSPF herdistribueren.
Standaard is RRI automatisch ingeschakeld voor AnyConnect SSL-VPN-verbindingen op ASA. Je moet een prefix-lijst maken die de Address Pools matcht en een route-map om de prefix-lijst te matchen.
Je kunt de volgende link bekijken die erg handig is om RRI te begrijpen en te configureren: ASA Reverse Route Injection (RRI) – integrating IT
In ASA-wereld heet het reverse route injection. Ik weet niet zeker of het ondersteund wordt op firepower.
Ik denk niet dat je kostenmanipulatie nodig hebt om te bereiken wat je wilt. Pakketten gaan naar het netwerk waar het naartoe moet, gebaseerd op de clientverbinding. En, in de echte wereld, zouden we meestal statische routes naar een VPN-concentrator gebruiken. Voeg dingen niet toe aan OSPF tenzij nodig.
De enige keer dat ik RRI heb gebruikt, was voor een unieke situatie waarbij we dezelfde subnet naar twee verschillende VPN-edge-apparaten in verschillende datacenters wilde routeren, maar als je verbinding maakt met de alternatieve terwijl de primaire actief is, zouden we een /32-route speciefiek voor jouw VPN-IP in het netwerk injecteren.
