faq обучение настройка
Текущее время: Ср июл 09, 2025 20:13

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 7 ] 
Автор Сообщение
 Заголовок сообщения: Резервный IPsec туннель на DI-804HV
СообщениеДобавлено: Ср апр 03, 2013 08:49 
Не в сети

Зарегистрирован: Ср апр 03, 2013 08:41
Сообщений: 3
Добрый день!

Просьба помочь по вопросу использования IPSec в оборудовании dlink.

В приложении стенд схемы сети и конфигурация cisco 1720.

Оборудование настроено и работает по инструкции http://www.dlink.ru/ru/faq/69/285.html. Схема воспроизведена и работоспособна.

В моём же стенде на центральном маршрутизаторе cisco 1720 имеется два канала до "Интернет" ISP1 (основной) и ISP2 (резервный). Переключение маршрута по умолчанию будет автоматически (в текущем стенде в ручную) по недоступности ip адресов шлюзов провайдера.

Необходимо настроить IPsec тунель(и) на DI-804HV до центрального маршрутизатора через каждого из провайдеров. Т.е. при падении основного канала, сеть центрального офиса должна быть доступна через ipsec через резервный интернет ISP 2.

Со стороны DI-804HV я пробовал следующее:

1) Настраивал два тунеля до 1720 c одинаковыми Remote Subnet. При попытке соединения в логах DI-804HV было сообщение что такая же сеть используется в другом тунеле и тунель не поднимался.
2) Пытался указать в поле Remote Gateway несколько IP адресов(через запятую,точка с запятой, пробел и тд). Безуспешно. При попытке соединения ругается на неправильный Remote Gateway.


Вопрос:

Как настроить соединение (настроить DI-804HV) по технологии IPsec с удалёнными сетями офисов с возможностью резервирования интернет канала в центральном офисе?


Вложения:
cisco1720.txt [1.47 KiB]
Скачиваний: 476
схема ipsec.png
схема ipsec.png [ 41.54 KiB | Просмотров: 2244 ]
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Резервный IPsec туннель на DI-804HV
СообщениеДобавлено: Ср апр 03, 2013 09:42 
Не в сети

Зарегистрирован: Сб июн 11, 2011 15:51
Сообщений: 77
А можно поинтересоваться, почему Вы решили, что в DI-808 такой функционал есть в принципе?

PS. Я сейчас для такой задачи начинаю использовать DFL-260E, у которых в наличии 2 WAN-порта.

PPS. А не хотите поднять эти ДВА VPN-канала на той железке, которая у Вас обозначена "Просто роутер с 3 интерфейсами..."? Если там стоит какая-то машинка, выделенная под роутер, то может стоит установить на ней что-то типа pfSense и там "рулить" VPN-ами?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Резервный IPsec туннель на DI-804HV
СообщениеДобавлено: Ср апр 03, 2013 13:15 
Не в сети

Зарегистрирован: Ср апр 03, 2013 08:41
Сообщений: 3
_dT_ писал(а):
А можно поинтересоваться, почему Вы решили, что в DI-808 такой функционал есть в принципе?

PS. Я сейчас для такой задачи начинаю использовать DFL-260E, у которых в наличии 2 WAN-порта.

PPS. А не хотите поднять эти ДВА VPN-канала на той железке, которая у Вас обозначена "Просто роутер с 3 интерфейсами..."? Если там стоит какая-то машинка, выделенная под роутер, то может стоит установить на ней что-то типа pfSense и там "рулить" VPN-ами?


Можно. Опровержений того что такого функционала нет у DI-804HV я не нашёл. Потому и задал свой вопрос в надежде на подсказку.

Приведенная мной схема это стенд. Роутер с 3 интерфейсами в реальной схеме это интернет и им я пока не управляю)
В реальности сеть из более 30 офисов уже построена. Везде в офисах стоят DI-804HV, кроме центрального там cisco 28й серии. Сейчас же появилась необходимость резервировать соединение центрального офиса через второго провайдера.

По поводу DFL-260E:
Есть такой пример реализации http://www.dlink.ru/ru/faq/85/575.html. Но насколько я понял там переключение на резервный VPN канал происходит при физическом падении основного линка. В моём же случае аплинк в переферийных офисах один. И соответственно ни какого переключения VPN при падении одного из линков в офисе не будет. Если я всё верно понял.

Можно поинтересоваться в вашей сети встречается топология когда в центральном офисе есть два аплинка до разных провайдеров, а в переферйном офисе один аплинк? Если да, то на каком оборудовании реализовано?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Резервный IPsec туннель на DI-804HV
СообщениеДобавлено: Ср апр 03, 2013 13:33 
Не в сети

Зарегистрирован: Сб июн 11, 2011 15:51
Сообщений: 77
konyshevmm писал(а):
Можно. Опровержений того что такого функционала нет у DI-804HV я не нашёл. Потому и задал свой вопрос в надежде на подсказку.

Я, обычно, исхожу от противного - если не описано, предполагаю, что этого нет. :-)
Поэтому и спросил.

konyshevmm писал(а):
Приведенная мной схема это стенд. Роутер с 3 интерфейсами в реальной схеме это интернет и им я пока не управляю)
В реальности сеть из более 30 офисов уже построена. Везде в офисах стоят DI-804HV, кроме центрального там cisco 28й серии. Сейчас же появилась необходимость резервировать соединение центрального офиса через второго провайдера.

Я понял, что стенд. Но, так понял, что все, указанное на нем - либо физическое, либо виртуальное (для обкатки работоспособности) железо.

konyshevmm писал(а):
По поводу DFL-260E:
Есть такой пример реализации http://www.dlink.ru/ru/faq/85/575.html. Но насколько я понял там переключение на резервный VPN канал происходит при физическом падении основного линка. В моём же случае аплинк в переферийных офисах один. И соответственно ни какого переключения VPN при падении одного из линков в офисе не будет. Если я всё верно понял.

Я тоже так же понимаю. Но, если падает аплинк на переферии, то через что будет работать "запасной" VPN? Поэтому и исхожу из того, что данная схема имеет смысл только при наличии более, чем одного аплинка.

konyshevmm писал(а):
Можно поинтересоваться в вашей сети встречается топология когда в центральном офисе есть два аплинка до разных провайдеров, а в переферйном офисе один аплинк? Если да, то на каком оборудовании реализовано?

Несколько хуже. В центральном офисе три аплинка от двух провайдеров. :-)
А вот почти во всех районных - по одному, увы. И, как правило, падение VPN неразрывно связано с падением именно и-нет-подключения к провайдеру.

Более подробная картина такова:
1. головной офис с тремя аплинками (один из которых - прямой канал на городское отделение)
2. городское отделение с двумя аплинками (один из которых - прямой канал на головной офис, см.п.1)
3. 1,5 десятка районных отделений (по одному ADSL-аплинку в каждом)

Изначально все строилось на DI-804 и DI-808 банально по топологии зведа. Головной узел - в головном офисе.
С усложнением инфраструктуры, увеличение количества районных отделений, увелечения нагрузки на сеть и т.д и т.п. силонохитрожо... сильнохитромудрым способом задействовали два канала между головным офисом и городским отделением.
Сейчас ставим пока что в головной офис и городское отделение по DFL-260E с использованием двух каналов между ними.
Районые отделения собираюсь "подвязать" двумя VPN-ами каждое (одна - к головному офису, другая - к городскому отделению) и прописать основную маршрутизацию напрямую на головной офис, а резервную - через городское отделение на головной офис (на случай падения основного аплинка в головном офисе).
Ну, как-то так. :-)

PS. Сейчас еще обмусоливаю мысль установки в районных отделениях в качестве шлюзов следующей связки - Alix 2D13 (или аналогичную) + pfSense. Роутер+VPN+прокси+VoIP (в идеале, конечно) И, может быть, Alix дополнить 3G-модулем и зарезервировать канал через мобильного оператора.
Но, это уже "тема докторской". ;-)


Последний раз редактировалось _dT_ Ср апр 03, 2013 13:38, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Резервный IPsec туннель на DI-804HV
СообщениеДобавлено: Ср апр 03, 2013 13:33 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9130
Откуда: Москва
_dT_ писал(а):
Но насколько я понял там переключение на резервный VPN канал происходит при физическом падении основного линка


можно настроить мониторинг хоста - который к физике ни какго отношения не имеет , монииторьте доступность на маршруте вашей Remote End Point.
_dT_ писал(а):
Можно поинтересоваться в вашей сети встречается топология когда в центральном офисе есть два аплинка до разных провайдеров, а в переферйном офисе один аплинк? Если да, то на каком оборудовании реализовано?

Это часто распространенная схема - мониторить на маршруте по доступности хоста , если нет хоста - то маршрут отключится и пойдет по блжайшему доступному , те следующий ....

но на DI вам такого не добится .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Резервный IPsec туннель на DI-804HV
СообщениеДобавлено: Ср апр 03, 2013 13:40 
Не в сети

Зарегистрирован: Сб июн 11, 2011 15:51
Сообщений: 77
Vladimir22 писал(а):
но на DI вам такого не добится .

Дык, о то ж! :-(
Для своей ценовой категории DI-808 весьма хорош. Но, IMHO, тут уже вылезаем в зону более высоких требований и возможностей. А, значит, и цены.
Я, к примеру, хотел бы, чтобы DI-ки умели прописывать пути к одной и той же подсети, но с разными метриками. Но, насколько понимаю, они этого не умеют.
А значит, буду со временем их менять на нечто "более другое".


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Резервный IPsec туннель на DI-804HV
СообщениеДобавлено: Ср апр 03, 2013 17:30 
Не в сети

Зарегистрирован: Ср апр 03, 2013 08:41
Сообщений: 3
Видимо вы правы и для реализации желаемого придется DI-804HV менять на что-то более "умное" из другой ценовой категории.

Всем спасибо!
_dT_ успехов с резервированием каналов!


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 7 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Bing [Bot] и гости: 373


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB