faq обучение настройка
Текущее время: Вт июл 22, 2025 01:29

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 6 ] 
Автор Сообщение
 Заголовок сообщения: Primary and Secondary ISP for IPSEC Tunnels DFL 800
СообщениеДобавлено: Вт мар 02, 2010 15:57 
Не в сети

Зарегистрирован: Пн мар 01, 2010 12:17
Сообщений: 19
Коллеги, доброе время суток!
-----------------------------------
Что есть:
Две площадки, на одной площадке 2 разл. провайдера, на второй площадке 2 различных провайдера, на каждой из площадок по рутеру DFL-800.
------------------------------------
Задача:
Необходимо задействовать по 2 WAN с каждой стороны, создать на каждом из WAN IPSEC туннели. В случае проблем с каналом переключаться в атоматическом или ручном режимах на другой канал.
------------------------------------
Что сделал:
1. Настроил интерфейсы на двух рутерах. Настроил по 2 IPSEC с каждой стороны.
-----------------------------
В чем проблема:

Канал IPSEC работает на двух рутерах на wan1 интерфейсах, интерфейсы wan2 не подключены. Переключаю вручную кабель Ethernet в интерфейсы wan2..ipsec не работает. В мониторе ipsec в разделе IKE указан GW от первого wan1 интерфейса. Перезагружаю - ситуация не меняется.
---------------------------
Вопрос:
Что необходимо сделать дабы при физическом переключении или автоматическом работали ipsec каналы на других интерфейсах(в моем случае wan2).

Спасибо, за ответы.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 02, 2010 21:21 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
с каждой стороны пропишите маршрут до точки терминирования IPSec туннеля через WAN2. Станут подниматься оба. Failover настраивается по обычной инструкции.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 02, 2010 22:10 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
В дополнение к фиксированию интерфейсов для IPsec (путем статических маршрутов), необходим мониторинг. Лучше всего (особенно с IPsec) работает ICMP, однако для него надо сделать следующее

1) Добавляете для каждого IPsec интерфейса альтернативную таблицу маршрутизации с единственным дефолтным (для простоты) маршрутом

2) Делаете правило PBR ipsec_if/all-nets any/all-nets, forward main, return alt_ipsec

3) Для маршрута на каждый туннель делаете ICMP мониторинг на удаленный DFL (не забудьте правило allow ipsec_if/remote_net core/lan_ip icmp)

Этим вы обеспечите обработку пакетов из IPsec вне зависимости от доступности (или нет) маршрута на него, что необходимо для поднятия маршрута после падения при помощи ICMP.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Primary and Secondary ISP for IPSEC Tunnels DFL 800
СообщениеДобавлено: Ср мар 03, 2010 09:42 
Не в сети

Зарегистрирован: Пт янв 15, 2010 13:45
Сообщений: 411
Amatol писал(а):
Канал IPSEC работает на двух рутерах на wan1 интерфейсах, интерфейсы wan2 не подключены. Переключаю вручную кабель Ethernet в интерфейсы wan2..ipsec не работает. В мониторе ipsec в разделе IKE указан GW от первого wan1 интерфейса. Перезагружаю - ситуация не меняется.
интернет после переключения работает ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 03, 2010 13:53 
Не в сети

Зарегистрирован: Пн мар 01, 2010 12:17
Сообщений: 19
Так как стенд тестовый..рутеры подключены через свитч - к интернету не подключены.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 04, 2010 10:48 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
пример можно посмотреть тут, только задействуйте новаые механизмы контроля канала (ICPM) http://ftp.dlink.ru/pub/FireWall/IPSec_ ... HQ_VER.zip

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 6 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 259


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB