IPSEC-туннели (разные публичные IP, одинаковые внутренние подсети)
Добавлено: 07 ноя 2017, 15:27
Ребят, помогите, голову ломаю но решение никак не дается.
На моей стороне RB-951 с единственным публичным IP. На той стороне две циски, у каждой свой публичный IP, но одинаковые локальные сетки за ними (10.4.0.0).
Контрагент требует два IPSEC туннеля для отказоустойчивости. Причем если один туннель упал (именно туннель, а не хост), должно переключиться на второй.
Делаю два пира, все нормально. А вот создаю policy - и тут уже проблемы. Получается что SA SRC Address одинаковый, SA DST Address разные. А сетки мне шифровать получается нужно одни и те же, что мне миркотик ессно не дает делать. Вторая policy всегда подсвечивается красным. Привожу конфиг политик:
Policy1
src-address=172.19.76.0/24 src-port=any dst-address=10.4.0.0/16 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=MY_PUBLIC_IP sa-dst-address=REMOTE_PUBLIC_IP proposal=proposal1 priority=0 ph2-count=1
Policy2
src-address=172.19.76.0/24 src-port=any dst-address=10.4.0.0/16 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=MY_PUBLIC_IP sa-dst-address=REMOTE_PUBLIC_IP_2 proposal=proposal1 priority=0 ph2-count=1
В голову ничего не приходит. Я понимаю почему микротик не дает отрабатывать второй политике - сетки то с моей стороны и со стороны контрагента повторяются. В голову приходит только вариант создания скрипта, который смотрит за работой первого туннеля, и в случае его некорректной работы, выключает политику первого туннеля, и включает политику второго туннеля. Но как это реализовать не знаю, например за какой параметр туннеля цепляться чтобы убедиться в том что он лежит..
На моей стороне RB-951 с единственным публичным IP. На той стороне две циски, у каждой свой публичный IP, но одинаковые локальные сетки за ними (10.4.0.0).
Контрагент требует два IPSEC туннеля для отказоустойчивости. Причем если один туннель упал (именно туннель, а не хост), должно переключиться на второй.
Делаю два пира, все нормально. А вот создаю policy - и тут уже проблемы. Получается что SA SRC Address одинаковый, SA DST Address разные. А сетки мне шифровать получается нужно одни и те же, что мне миркотик ессно не дает делать. Вторая policy всегда подсвечивается красным. Привожу конфиг политик:
Policy1
src-address=172.19.76.0/24 src-port=any dst-address=10.4.0.0/16 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=MY_PUBLIC_IP sa-dst-address=REMOTE_PUBLIC_IP proposal=proposal1 priority=0 ph2-count=1
Policy2
src-address=172.19.76.0/24 src-port=any dst-address=10.4.0.0/16 dst-port=any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=MY_PUBLIC_IP sa-dst-address=REMOTE_PUBLIC_IP_2 proposal=proposal1 priority=0 ph2-count=1
В голову ничего не приходит. Я понимаю почему микротик не дает отрабатывать второй политике - сетки то с моей стороны и со стороны контрагента повторяются. В голову приходит только вариант создания скрипта, который смотрит за работой первого туннеля, и в случае его некорректной работы, выключает политику первого туннеля, и включает политику второго туннеля. Но как это реализовать не знаю, например за какой параметр туннеля цепляться чтобы убедиться в том что он лежит..