|
Есть центральный офис - DFL-800 и 5 вспомогательных - DFL-210. Во всех офисах есть один общий провайдер и один резервный (кроме двух вспомогательных). Общий провайдер предоставляет услугу VLAN (с их стороны стоят управляемые комутаторы). Поверх VLAN подняты IPSec тунели от вспомогательных к центральному (топология звезда). Также подняты резервные тунели на резервных провайдерах (также звезда) кроме двух вспомогательных офисов. Все работает. Резервные тунели автоматически включаются. Здесь вопросов нет. Помимо этого на DFL-210 в вспомогательных офисах на wan1 и wan2 (его роль выполняет dmz) подняты L2TPServer-а для связи вспомогательных офисов между собой, если вдруг центральный офис (на котором все завязано) будет недоступен (например вырубят свет на всем доме). Все настроил, все работает, но с одной оговоркой: допустим А и Б это вспомогательные офисы (DFL-210), подключаемся с офиса А через wan1 к L2TP-серверу офиса Б на wan1. Все подключается все видится. И вот для интереса попробовал с фаервола Б пингануть адрес, с которого произвелось подключени (адрес, который прописан на фаерволе А на wan1). И тут все повисло все отключилось и больше не могу подключиться с фаервола А к фаерволу Б. Лезу на фаервол Б по основному каналу через центральный офис и что я вижу: в IPsec IKE Status весит задвоенный IKE(что странно с разными алгоритмами), в Routing Table Contents задвоилась динамическая подсеть для IPSec-тунеля который используется в L2TP-сервере (строчка с флагом D). И до тех пор пока не удалить ключик IKE не подключиться.
|
Вход
Регистрация
FAQ
Поиск
