Поднимаю старый вопрос про удаленный доступ.

Поднял на первом WAN1 сервер IPSec VPN с паролем. Все работает нормально, доступ есть. Создаю аналогичный сервер на WAN2 при этом указываю прежнюю базу аутентификации, для того чтобы пользователь мог подключиться только один раз, не важно какой внешний ip (WAN) он использует: нет ответа, соединение не устанавливается. Снифф показывает: при подключении на WAN2 обратно пакеты идут с WAN1.

Хотелось бы разобраться в ситуации. Необходимо и на втором выделенном канале организовать резервный VPN доступ.

Прошивка 2.25.01.28
Маршруты:

main:

rostelecom:


Routing Rules:


VPN

в Routing Rules, 4е правило , dest network - должно быть wan2_ip.
и покажите что внутри этих правил (порядок использования таблиц маршрутизаций).

http_to_stream - удерживает определенный http траффик от влияния второго следующего правила
http_ftp_outband перебрасывает http и ftp траффик на второй канал.

wan2_outbound
Направляет на правильный путь к провайдерским днс и тд.


inbound_wan2
Траффик полученный на WAN2 направляется обратно туда-же.

ну всё верно, только ещё раз в 4м правиле измените что я написал.
Всё должно работать.

то правило что вы написали последним - лишнее.

На WAN2 VPN сервер не поднялся, пакеты возвращаются через wan1. Согласование безопасности не завершается.

wan2_ip пингуется? ( из и-нета).
PRB правило wan2_outbound отрабатывается?

Да все сервисы WAN2 доступны, работают так же как и на WAN1. Кроме того что на WAN1 работает еще и VPN

попробуйте создать ещё одно PBR правило для ipsec-suite (по аналогии с wan2_inbound), и поставьте его первым в списке.
(в пбр -> dest_net: WAN2_IP!!!)

Попробовал добавить еще одно правило и поставить его наверх, результат тот же. Правило пока убрал, зачем городить дубли.





195.161.000.000 - это WAN2

Что можно еще попробовать для vpn сервера на wan2?

Тут "засада" из-за динамического тоннеля. Он может быть только один, это обусловлено тем, что у вас не указан remote endpoint, поэтому первый тоннель удовлетворяет любому подключению и будет использоваться для подключения как с wan1 так и с wan2, а т.к. у вас в верхнем тоннеле указана в качестве local network wan1_ip, а не wan2_ip отсюда у вас и возникает проблема.

Это не ограничение устройства, это принципы на которых работает IPSec и маршрутизация.

P.S. если вы поднимите второй тоннель выше первого, то к вам смогут подключатся только через wan2.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Спасибо за ответ, многое проясняет. А если я поставлю не wan1_ip а wans_ips (wan1_ip, wan2_ip)? Устройство позволяет, ночью попробую. Пусть хотябы по очереди работают. Поможет при отказе wan1.

Боюсь тогда появятся другие проблемы, а имеено, у вас будет 2 SA в тоннеле в тоннеле с типом SA host, как отнесется к этому клинет windows сказать не могу, надо проверять.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.