Jump to content
h5rov

IPSec тунел към повече от един рутер

Recommended Posts

h5rov

Здравейте,

Имам следния казус на който не мога да намеря решение, дали концепцията ми е сбъркана или нещо не ми достига, ще кажете Вие.

Имам 3 офиса които са свързани с IPSec.

Сегашната конфигурация е: двата малки офиса сe свързват с IPSec тунел към централния.

src-address=192.168.2.0/24 src-port=any dst-address=0.0.0.0/0 dst-port=any protocol=all action=encrypt
       level=require ipsec-protocols=esp tunnel=yes sa-src-address=109.120.26.89 sa-dst-address=62.20.13.15
       proposal=default priority=0

Така целия трафик от малките офиси заминава към централния, там ги посреща един фаерлол Fortigate 100D, който филтрира, сканира трафика и още разни глупости.

Принципно нещата така работят без проблеми, но сега ми се налага да изградя директна свързаност от малките офиси към външна услуга.

Както и да се опитвам да създам втори тунел, например:

src-address=192.168.2.0/24 src-port=any dst-address=192.168.15.0/24 dst-port=any protocol=all
       action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=109.120.26.89
       sa-dst-address=212.114.141.12 proposal=default priority=1 (или priority=0)

Трафика не заминава въобще към втория тунел.

Има ли вариант с някакви правила/изключение... всичкия трафик да заминава към централния офис както е до сега освен заявките към 192.168.15.0/24.

Надявам се правилно да съм го обяснил.

Share this post


Link to post
Share on other sites
JohnTRIVOLTA

Ми маркирай този спецефичен трафик и му сложи път от къде да минава!

Share this post


Link to post
Share on other sites
h5rov

Може ли малко по-подробно. Общо взето ме затруднява липсата на интерфейс при IPSec-a.

Share this post


Link to post
Share on other sites
JohnTRIVOLTA

Еми можеше да пуснеш върху GRE IPSECа и да рутираш през него пример ! Виж пробвай да смениш приорити да е 0 към 192.168.15.0/24 мрежа и 1ца за тунела за всички останали !

Share this post


Link to post
Share on other sites
NetworkPro

Има разни критерии IPSecа да върви например да не се NAT-ва

 

примерен bypass:

 

Please login or register to see this content.

Share this post


Link to post
Share on other sites
h5rov

Благодаря за отговорите колеги.

Оказа се, че трябва намеса от отсрещната страна.

Тунелите сработиха по най-папагалския начин:

Тунела към външната услуга:

Всичкия останал трафик влиза в другия тунел.

Please login or register to see this content.

Лека и спорна!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.