IPsec и несколько сегментов/подсетей на каждой стороне

[ssedov]

Возможно тема и решение банальные, но поиском по форуму и чтением доков не понял как мне пробросить несколько сегментов/подсетей по IPsec туннелю. Проблема в том что подсети не пересекаются, т.е. имеют адреса типа 192.168.0.0 и 10.10.0.0 и сменить их на смежные я не могу, схема сети и ее адресация уже реализованы и работают. И в конфиге IPsec я не могу задать их одновременно. Создаю второй конфиг с такими же клиентом и сервером, но с другой подсетью и получаю ошибку что такой шлюз уже существует.

Пробовал IPIP поверх существующего IPsec, но так и не понял как его нужно настраивать в моем случае и роутеры в итоге даже друг друга не видели.

Подскажите, plz, как решить этот вопрос?

[Кинетиковод]

Попробуйте L2TP. Маршруты пропишите и готово.

[ssedov]

L2TP как понимаю поверх IPsec работает, вот как это настроить если IPSec уже настроен? Сложность в том что туннели не только среди кинетиков, но и других сетевых железок и на таких туннелях у меня возникают сложности.

[ssedov]

2 часа назад, Кинетиковод сказал:

Попробуйте L2TP. Маршруты пропишите и готово.

К сожалению отпадает этот вариант, L2TP не поддерживается на Juniper SRX, а у меня еще остались такие в качестве VPN клиентов. Похоже нужно думать про туннели поверх IPsec, но у меня не получается настроить IPIP поверх готового и работающего IPsec

[ssedov]

Стоило написать тут вопрос и получилось поднять туннель IPIP поверх существующего IPsec. Нужную подсеть сроутил в него, заработало. Всем спасибо!