Добрый день!
Пожалуйста, помогите разобраться с настройкой site-to-site vpn.
Есть 2 филиала, в каждом из которых по 2 провайдера и настроена отказоустойчивость с помощью sla.
Настройка site-to-site vpn сделана с использованием ikev2.
Как известно ikev2 не поддерживает указание нескольких пиров в "crypto map"
Поэтому второй пир добавлен через в ту же "crypto map", но с другим номером.
ASA1Код:
crypto map outside 1 match address l2l_list
crypto map outside 1 set peer 1.1.1.1
crypto map outside 1 set ikev2 ipsec-proposal AES-256-SHA-1
crypto map outside 2 match address l2l_list
crypto map outside 2 set peer 2.2.2.2
crypto map outside 2 set ikev2 ipsec-proposal AES-256-SHA-1
crypto map outside interface outside
ASA2Код:
crypto map outside 1 match address l2l_list
crypto map outside 1 set peer 3.3.3.3
crypto map outside 1 set ikev2 ipsec-proposal AES-256-SHA-1
crypto map outside 2 match address l2l_list
crypto map outside 2 set peer 4.4.4.4
crypto map outside 2 set ikev2 ipsec-proposal AES-256-SHA-1
crypto map outside interface outside
Пока интернет на точках идёт через основного провайдера, всё работает нормально, но как только происходит переключение на резерв, возникают проблемы.
К примеру, отваливается провайдер 1.1.1.1 и по логике туннель до него должен быть убит и поднят 2.2.2.2, но туннель либо не поднимается вообще либо висят оба туннеля, в результате чего трафик между филиалами не ходит потому что asa пытается направить трафик через нерабочий линк.
При чём даже если вручную убить туннель через пира 1.1.1.1, то он поднимается сам, хотя пир не пингуется. При чём инициатором соединения может выступать как asa1 так и asa2.
Подозреваю что дело может быть в списке сетей l2l_list
Код:
access-list l2l_list extended permit ip object-group LOCAL_NET object-group REMOTE_NET
, но я пробовал создать другой аццес лист с теми же подсетями, и прописать его в "crypto map outside 2 match address l2l_list2", но это ничего не изменило.
Конечно можно было бы вернутся на ikev1, как советует поддержка cisco, и прописать двух пиров в одной криптокарте, но как-то не хочется переходить на ikev1.
Либо сделать настройку динамического туннеля, но в сети есть мануалы когда с одной стороны статический IP, а с другой динамический. У меня же ситуация немного иная - с обоих сторон есть 2 белых статических IP. Как настроить их корректную работу мне не совсем понятно.
Прошу помощи гуру.