alex0123456789
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Если еще актуально: 1) IPSec "переключаться" не может, нужно просто сделать 2 туннеля WAN1<->WAN1 и WAN2<->WAN2 и можно сделать так, чтобы в норме жили оба. Нужно прописать явные маршруты на WAN1 соседа через свой WAN1 и на WAN2 через свой WAN2, а не надеяться на маршрут по умолчанию, который у вас переключается по RFO. К сожалению, не получается WAN1<->WAN2, в смысле иметь 4 варианта туннеля для любой комбинации работающих портов, и именно из-за маршрутизации. 2) Нельзя ставить галку на последней вкладке настройки IPSec - это создает стат. маршрут, независимо от того, жив туннель или нет. В принципе должно работать keepalive + галка создания маршрута на вкладке routing, но я так не делал, а делал через общий механизм RFO для большего единообразия и гибкости. Я настраивал IPSec так: 1) На первой вкладке local net - all_nets, remote net - all_nets. Почему? Я назначал явные адреса концам туннелей и их нужно включать в соотв. сети - лишний геморрой. В общем, это дополнительный фильтр, а зачем, если есть правила файрволла? 2) Внизу на вкладке routing назначаем входу в туннель явный IP. 3) Никакие автом. марщруты ни в routing, ни в advanced не создаем, keepalive не включаем. 4) Прописываем стат. маршруты для дальних входов в туннели через соотв. туннель. 5) Теперь прописывам маршруты в соседнюю локалку через туннели с разной метрикой и с хост-мониторингом. Как хосты для мониторинга естественно даем дальние входы в туннели. Ест-но все перечисленное делаем на обеих железяках. Преимущества такой конфигурации: если желательно, чтобы в норме в Инет ходили через WAN1, а по VPN - через WAN2 или наоборот, или как угодно - достаточно поменять метрику у маршрутов c RFO. Благодаря наличию явных IP у туннелей легко проверить работоспособность резервного туннеля пингом или выяснить, через какой туннель мы сейчас работаем tracert. | Всего записей: 2 | Зарегистр. 28-01-2008 | Отправлено: 01:57 18-12-2010 | Исправлено: alex0123456789, 02:02 18-12-2010 |
|