Проблема с туннелем IPSEC

Обсуждение ПО и его настройки
enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

saszay писал(а): 18 фев 2018, 13:59 Вроде чуть задышало. Только почему-то не все пакеты заворачивает в туннель, отдельные пытаются пойти по маршруту по умолчанию...
Так надо с двух сторон указать маршруты в сеть противоположную, чтоб они через тоннель шли )

Если таких точек много то OSPF, если мало то можно статику прописать.
Но лучше OSPF (для резервирования пригодится, автоматического)


saszay
Сообщения: 30
Зарегистрирован: 19 июл 2015, 19:39

Не понял маленько.
Прописан маршрут: 192.168.50.0/24 gw 172.16.30.1 интерфейс ipiptunel.
Вроде всё работает. Но некоторые пакеты не хотят идти в туннель, и пытаются пройти по маршруту по умолчанию, через WAN


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

saszay писал(а): 18 фев 2018, 14:08 Не понял маленько.
Прописан маршрут: 192.168.50.0/24 gw 172.16.30.1 интерфейс ipiptunel.
Вроде всё работает. Но некоторые пакеты не хотят идти в туннель, и пытаются пройти по маршруту по умолчанию, через WAN
Не может такого быть
Если какие то пакеты пытаются уйти в ван - значит дестинейшен у них не в этой записи ...
Одна она у вас надеюсь?

И не надо указывать и адрес и интерфейс, или то или то укажите, нормально будет работать.


saszay
Сообщения: 30
Зарегистрирован: 19 июл 2015, 19:39

Я указал только IP туннеля. Интерфейс он сам подставил.
Сам в недоумении...


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

saszay писал(а): 18 фев 2018, 14:26 Я указал только IP туннеля. Интерфейс он сам подставил.
Сам в недоумении...
А, если в описании смотрели что over ipiptunnel то это нормально
IP дальней точки надеюсь?:)


saszay
Сообщения: 30
Зарегистрирован: 19 июл 2015, 19:39

Да. Туннель работает, даже https заработал. Но один хост (ip-телефон) пытается пройти мимо туннеля


saszay
Сообщения: 30
Зарегистрирован: 19 июл 2015, 19:39

Вроде проблема ушла: это хост помнил соединение и не хотел идти по новому пути. После сброса соединения всё пошло нормально...


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

Вопрос решен?:)


Keepalive включите еще на двух концах чтобы видеть жив тоннель или нет
Тоннели вы можете сделать с двух провайдеров. И на два/4 провайдера в центральный мт.

И будет у вас отказоустойчивость.


saszay
Сообщения: 30
Зарегистрирован: 19 июл 2015, 19:39

А как их переключать?


enzain
Сообщения: 291
Зарегистрирован: 26 дек 2017, 22:30

saszay писал(а): 18 фев 2018, 19:49 А как их переключать?
Так вы выставляете Keepalive на интерфейсе с двух сторон, и если связь прервется то маршрут через этот интерфейс станет не активным.

А маршруты добавляете через интерфесйсы в порядке приоритетов (дистансами приоритеты ставите)

Т.е.

192.168.50.0/24 gw ipiptunnel1 distance 1
192.168.50.0/24 gw ipiptunnel2 distance 2
192.168.50.0/24 gw ipiptunnel3 distance 3
192.168.50.0/24 gw ipiptunnel4 distance 4

И переключение будет автоматическое


Ответить