Резервирование IPSec VPN

[Vladr]

Доброго времени суток. 

Для окончательного решения вопроса о приобретении KN-1010 необходимо выяснить возможность его работы в такой схеме.

 

офис 1: внешний IP 192.192.1.1  внутренняя сеть 192.168.1.0/24 

офис 2: внешние IP1 201.201.1.1

                          IP2  211.211.1.1  внутренняя сеть 10.10.1.0/24

в офисе 1 будет стоять Keenetic KN-1010

в офисе 2 стоит Cosco, IP1 основной, IP2 резервный. Есть DNS-имя для коннекта к Cisco через AnyConnect vpn.office2.com

Возможно ли настроить Keenetic для работы с IPSec site-to-site  через шлюз с IP1, а при потере связи переход на туннель со шлюзом IP2.

Сейчас используется TP-Link, но он не позволяет создать два туннеля с одинаковыми внутренними и удаленными подсетями.

Например, 

VPN1 вн.сеть  192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз 201.201.1.1

VPN2 вн.сеть  192.168.1.0/24, удаленная.сеть 10.10.2.0/24 удаленный шлюз 201.201.1.1 

можно, т.к. для удаленного шлюза разные сочетания внутренней и удаленной подсетей

А для ситуации 

VPN1 вн.сеть  192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз 201.201.1.1

VPN2 вн.сеть  192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз 211.211.1.1  

такие настройки недопустимы. 

 

Предполагаю, что может быть возможна настройка туннеля с помощью указания в качестве шлюза DNS-имени: VPN вн.сеть  192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз vpn.office2.com

Или же может быть здесь реализован механизм наподобие Cisco, когда создается tunnel-group, где прописываются адреса двух ISP.

 

Спасибо за помощь в разъяснении данного вопроса.

[Le ecureuil]

2 часа назад, Vladr сказал:

Доброго времени суток. 

Для окончательного решения вопроса о приобретении KN-1010 необходимо выяснить возможность его работы в такой схеме.

 

офис 1: внешний IP 192.192.1.1  внутренняя сеть 192.168.1.0/24 

офис 2: внешние IP1 201.201.1.1

                          IP2  211.211.1.1  внутренняя сеть 10.10.1.0/24

в офисе 1 будет стоять Keenetic KN-1010

в офисе 2 стоит Cosco, IP1 основной, IP2 резервный. Есть DNS-имя для коннекта к Cisco через AnyConnect vpn.office2.com

Возможно ли настроить Keenetic для работы с IPSec site-to-site  через шлюз с IP1, а при потере связи переход на туннель со шлюзом IP2.

Сейчас используется TP-Link, но он не позволяет создать два туннеля с одинаковыми внутренними и удаленными подсетями.

Например, 

VPN1 вн.сеть  192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз 201.201.1.1

VPN2 вн.сеть  192.168.1.0/24, удаленная.сеть 10.10.2.0/24 удаленный шлюз 201.201.1.1 

можно, т.к. для удаленного шлюза разные сочетания внутренней и удаленной подсетей

А для ситуации 

VPN1 вн.сеть  192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз 201.201.1.1

VPN2 вн.сеть  192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз 211.211.1.1  

такие настройки недопустимы. 

 

Предполагаю, что может быть возможна настройка туннеля с помощью указания в качестве шлюза DNS-имени: VPN вн.сеть  192.168.1.0/24, удаленная.сеть 10.10.1.0/24 удаленный шлюз vpn.office2.com

Или же может быть здесь реализован механизм наподобие Cisco, когда создается tunnel-group, где прописываются адреса двух ISP.

 

Спасибо за помощь в разъяснении данного вопроса.

Да, возможность настроить резервирование в IPsec была всегда. Только она реализована в cli.

> crypto map <test> set-peer 201.201.1.1

> crypto map <test> set-peer-fallback 211.211.1.1

> crypto map <test> fallback-check-interval 600

Приоритет будет у 201.201.1.1, если с ним пропадет связь, то перейдет работать на 211.211.1.1, но раз в 600 секунд будет в фоне проверяться работоспособность 201.201.1.1, и при появлении связи с 201.201.1.1 все вернется туда.

[Vladr]

2 часа назад, Le ecureuil сказал:

Да, возможность настроить резервирование в IPsec была всегда. Только она реализована в cli.

> crypto map <test> set-peer 201.201.1.1

> crypto map <test> set-peer-fallback 211.211.1.1

> crypto map <test> fallback-check-interval 600

Приоритет будет у 201.201.1.1, если с ним пропадет связь, то перейдет работать на 211.211.1.1, но раз в 600 секунд будет в фоне проверяться работоспособность 201.201.1.1, и при появлении связи с 201.201.1.1 все вернется туда.

Ув . Le ecureuil Вы меня очень обрадовали! Теперь больше нет сомнений в выборе. 

А то, что большинство возможностей доступно через CLI, это не пугает. В Cisco тоже некоторые вещи проще сделать так, не посредством ASDM