Vladr Posted April 10, 2018 Share Posted April 10, 2018 Доброго времени суток. Для окончательного решения вопроса о приобретении KN-1010 необходимо выяснить возможность его работы в такой схеме. офис 1: внешний IP 192.192.1.1 внутренняя сеть 192.168.1.0/24 офис 2: внешние IP1 201.201.1.1 IP2 211.211.1.1 внутренняя сеть 10.10.1.0/24 в офисе 1 будет стоять Keenetic KN-1010 в офисе 2 стоит Cosco, IP1 основной, IP2 резервный. Есть DNS-имя для коннекта к Cisco через AnyConnect vpn.office2.com Возможно ли настроить Keenetic для работы с IPSec site-to-site через шлюз с IP1, а при потере связи переход на туннель со шлюзом IP2. Сейчас используется TP-Link, но он не позволяет создать два туннеля с одинаковыми внутренними и удаленными подсетями. Например, VPN1 вн.сеть 192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз 201.201.1.1 VPN2 вн.сеть 192.168.1.0/24, удаленная.сеть 10.10.2.0/24 удаленный шлюз 201.201.1.1 можно, т.к. для удаленного шлюза разные сочетания внутренней и удаленной подсетей А для ситуации VPN1 вн.сеть 192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз 201.201.1.1 VPN2 вн.сеть 192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз 211.211.1.1 такие настройки недопустимы. Предполагаю, что может быть возможна настройка туннеля с помощью указания в качестве шлюза DNS-имени: VPN вн.сеть 192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз vpn.office2.com Или же может быть здесь реализован механизм наподобие Cisco, когда создается tunnel-group, где прописываются адреса двух ISP. Спасибо за помощь в разъяснении данного вопроса. Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted April 10, 2018 Share Posted April 10, 2018 2 часа назад, Vladr сказал: Доброго времени суток. Для окончательного решения вопроса о приобретении KN-1010 необходимо выяснить возможность его работы в такой схеме. офис 1: внешний IP 192.192.1.1 внутренняя сеть 192.168.1.0/24 офис 2: внешние IP1 201.201.1.1 IP2 211.211.1.1 внутренняя сеть 10.10.1.0/24 в офисе 1 будет стоять Keenetic KN-1010 в офисе 2 стоит Cosco, IP1 основной, IP2 резервный. Есть DNS-имя для коннекта к Cisco через AnyConnect vpn.office2.com Возможно ли настроить Keenetic для работы с IPSec site-to-site через шлюз с IP1, а при потере связи переход на туннель со шлюзом IP2. Сейчас используется TP-Link, но он не позволяет создать два туннеля с одинаковыми внутренними и удаленными подсетями. Например, VPN1 вн.сеть 192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз 201.201.1.1 VPN2 вн.сеть 192.168.1.0/24, удаленная.сеть 10.10.2.0/24 удаленный шлюз 201.201.1.1 можно, т.к. для удаленного шлюза разные сочетания внутренней и удаленной подсетей А для ситуации VPN1 вн.сеть 192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз 201.201.1.1 VPN2 вн.сеть 192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз 211.211.1.1 такие настройки недопустимы. Предполагаю, что может быть возможна настройка туннеля с помощью указания в качестве шлюза DNS-имени: VPN вн.сеть 192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз vpn.office2.com Или же может быть здесь реализован механизм наподобие Cisco, когда создается tunnel-group, где прописываются адреса двух ISP. Спасибо за помощь в разъяснении данного вопроса. Да, возможность настроить резервирование в IPsec была всегда. Только она реализована в cli. > crypto map <test> set-peer 201.201.1.1 > crypto map <test> set-peer-fallback 211.211.1.1 > crypto map <test> fallback-check-interval 600 Приоритет будет у 201.201.1.1, если с ним пропадет связь, то перейдет работать на 211.211.1.1, но раз в 600 секунд будет в фоне проверяться работоспособность 201.201.1.1, и при появлении связи с 201.201.1.1 все вернется туда. 1 Quote Link to comment Share on other sites More sharing options...
Vladr Posted April 10, 2018 Author Share Posted April 10, 2018 2 часа назад, Le ecureuil сказал: Да, возможность настроить резервирование в IPsec была всегда. Только она реализована в cli. > crypto map <test> set-peer 201.201.1.1 > crypto map <test> set-peer-fallback 211.211.1.1 > crypto map <test> fallback-check-interval 600 Приоритет будет у 201.201.1.1, если с ним пропадет связь, то перейдет работать на 211.211.1.1, но раз в 600 секунд будет в фоне проверяться работоспособность 201.201.1.1, и при появлении связи с 201.201.1.1 все вернется туда. Ув . Le ecureuil Вы меня очень обрадовали! Теперь больше нет сомнений в выборе. А то, что большинство возможностей доступно через CLI, это не пугает. В Cisco тоже некоторые вещи проще сделать так, не посредством ASDM Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.