Anticisco http://anticisco.ru/forum/ |
|
Две asa5505, четыре провайдера и site-to-site ikev2 http://anticisco.ru/forum/viewtopic.php?f=2&t=10966 |
Страница 1 из 1 |
Автор: | egenius [ 15 май 2019, 10:02 ] |
Заголовок сообщения: | Две asa5505, четыре провайдера и site-to-site ikev2 |
Добрый день! Пожалуйста, помогите разобраться с настройкой site-to-site vpn. Есть 2 филиала, в каждом из которых по 2 провайдера и настроена отказоустойчивость с помощью sla. Настройка site-to-site vpn сделана с использованием ikev2. Как известно ikev2 не поддерживает указание нескольких пиров в "crypto map" Поэтому второй пир добавлен через в ту же "crypto map", но с другим номером. ASA1 Код: crypto map outside 1 match address l2l_list crypto map outside 1 set peer 1.1.1.1 crypto map outside 1 set ikev2 ipsec-proposal AES-256-SHA-1 crypto map outside 2 match address l2l_list crypto map outside 2 set peer 2.2.2.2 crypto map outside 2 set ikev2 ipsec-proposal AES-256-SHA-1 crypto map outside interface outside ASA2 Код: crypto map outside 1 match address l2l_list crypto map outside 1 set peer 3.3.3.3 crypto map outside 1 set ikev2 ipsec-proposal AES-256-SHA-1 crypto map outside 2 match address l2l_list crypto map outside 2 set peer 4.4.4.4 crypto map outside 2 set ikev2 ipsec-proposal AES-256-SHA-1 crypto map outside interface outside Пока интернет на точках идёт через основного провайдера, всё работает нормально, но как только происходит переключение на резерв, возникают проблемы. К примеру, отваливается провайдер 1.1.1.1 и по логике туннель до него должен быть убит и поднят 2.2.2.2, но туннель либо не поднимается вообще либо висят оба туннеля, в результате чего трафик между филиалами не ходит потому что asa пытается направить трафик через нерабочий линк. При чём даже если вручную убить туннель через пира 1.1.1.1, то он поднимается сам, хотя пир не пингуется. При чём инициатором соединения может выступать как asa1 так и asa2. Подозреваю что дело может быть в списке сетей l2l_list Код: access-list l2l_list extended permit ip object-group LOCAL_NET object-group REMOTE_NET Конечно можно было бы вернутся на ikev1, как советует поддержка cisco, и прописать двух пиров в одной криптокарте, но как-то не хочется переходить на ikev1. Либо сделать настройку динамического туннеля, но в сети есть мануалы когда с одной стороны статический IP, а с другой динамический. У меня же ситуация немного иная - с обоих сторон есть 2 белых статических IP. Как настроить их корректную работу мне не совсем понятно. Прошу помощи гуру. |
Автор: | root99 [ 15 май 2019, 10:09 ] |
Заголовок сообщения: | Re: Две asa5505, четыре провайдера и site-to-site ikev2 |
Просто на этом железе у вас не получится ничего сделать - очень старый софт на них и выше 9.2.4 вы не прыгните... для реализации ваших хотелок нужны хотя бы 9.9.2 - 9.12 |
Автор: | egenius [ 15 май 2019, 10:17 ] |
Заголовок сообщения: | Re: Две asa5505, четыре провайдера и site-to-site ikev2 |
Не думаю что мои хотелки слишком уж экзотические. Плюс добавлю, оно работает, но немного криво. Вот выпрямить эту кривизну мне и хочется. |
Автор: | root99 [ 15 май 2019, 10:24 ] |
Заголовок сообщения: | Re: Две asa5505, четыре провайдера и site-to-site ikev2 |
для этой железки это экзотика - на ней в принципе не должно быть ikev2, и данный ikev2 здесь не будет до конца внедрён, т.к. железка EOL |
Автор: | egenius [ 15 май 2019, 12:06 ] |
Заголовок сообщения: | Re: Две asa5505, четыре провайдера и site-to-site ikev2 |
Т.е. он как бы есть, а как бы и нет ? Значит вернуться на ikev1 и не выносить никому мозг своими хотелками ? |
Автор: | root99 [ 15 май 2019, 12:18 ] |
Заголовок сообщения: | Re: Две asa5505, четыре провайдера и site-to-site ikev2 |
в базовом варианте есть здесь ikev2 - или возвращайтесь на ikev1 или ставьте железо по-новей.... |
Автор: | egenius [ 16 май 2019, 14:09 ] |
Заголовок сообщения: | Re: Две asa5505, четыре провайдера и site-to-site ikev2 |
Ну хорошо, придётся вернутся на ikev1. А как быть с дублирующимися туннелями, когда один туннель инициирует ASA1, а второй ASA2 и оба висят? При этом каждая из ASA пытается передавать трафик через туннель, инициатором которого она является. |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |