IPSec с dual-home Cisco на втором конце?

Обсуждение ПО и его настройки
Ответить
achekalin
Сообщения: 40
Зарегистрирован: 12 сен 2012, 09:25

В центральной точке стоит ASA с двумя WAN-ами. На периферии хочется поставить Mikrotik, который бы поднимал IPSec до стоящей на центре ASA. Вопрос - можно ли указать на Mikrotik-е оба WAN-адреса ASA-ы, чтобы туннель, при пропадании одного из WAN-ов, продолжал работать с другим?

У цисок такое можно, хочется верить, что и Mikrotik не ударит в грязь лицом :)


achekalin
Сообщения: 40
Зарегистрирован: 12 сен 2012, 09:25

Что, никаких мыслей вообще? Кто-нибудь!


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

Можно как минимум сделать 2 отдельных тоннеля и маршрутизировать трафик в основной или резервный


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
achekalin
Сообщения: 40
Зарегистрирован: 12 сен 2012, 09:25

Спасибо за ответ, но плодить туннели не хотелось бы: периферийных точек (где miktotik-и и будет стоять) много, циска в центе одна, к тому же это ASA. Разводить туннели по два на каждый микротик + прописывать маршрутизацию - неизящно получается...

А что, никак микротику два пира не прописать?


iSupport
Сообщения: 2359
Зарегистрирован: 06 фев 2011, 20:44

в любом случае пир можно менять простым скриптом


Граждане, сколько раз просил =) чем понятнее и точнее сформулирован вопрос - тем понятнее и точнее будет на него ответ.
Я просматриваю ВСЕ темы форума и стараюсь помочь в каждой из них
Поэтому, НА ЛС отвечаю в последнюю очередь
olhovik
Сообщения: 30
Зарегистрирован: 21 фев 2012, 12:00

achekalin писал(а):В центральной точке стоит ASA с двумя WAN-ами. На периферии хочется поставить Mikrotik, который бы поднимал IPSec до стоящей на центре ASA. Вопрос - можно ли указать на Mikrotik-е оба WAN-адреса ASA-ы, чтобы туннель, при пропадании одного из WAN-ов, продолжал работать с другим?

У цисок такое можно, хочется верить, что и Mikrotik не ударит в грязь лицом :)


Не, можно тоннели другого типа сделать подобным образом. Но при попытке зашифровать этот трафик с помощью ipsec - тот же облом.
Ну так и по цене далеко не циска :)
Саппорт МТ отвечал мне пару раз, что у них в далёких планах решить проблему.


Ответить