IPSec тунел към повече от един рутер

[h5rov]

Здравейте,

Имам следния казус на който не мога да намеря решение, дали концепцията ми е сбъркана или нещо не ми достига, ще кажете Вие.

Имам 3 офиса които са свързани с IPSec.

Сегашната конфигурация е: двата малки офиса сe свързват с IPSec тунел към централния.

src-address=192.168.2.0/24 src-port=any dst-address=0.0.0.0/0 dst-port=any protocol=all action=encrypt
       level=require ipsec-protocols=esp tunnel=yes sa-src-address=109.120.26.89 sa-dst-address=62.20.13.15
       proposal=default priority=0

Така целия трафик от малките офиси заминава към централния, там ги посреща един фаерлол Fortigate 100D, който филтрира, сканира трафика и още разни глупости.

Принципно нещата така работят без проблеми, но сега ми се налага да изградя директна свързаност от малките офиси към външна услуга.

Както и да се опитвам да създам втори тунел, например:

src-address=192.168.2.0/24 src-port=any dst-address=192.168.15.0/24 dst-port=any protocol=all
       action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=109.120.26.89
       sa-dst-address=212.114.141.12 proposal=default priority=1 (или priority=0)

Трафика не заминава въобще към втория тунел.

Има ли вариант с някакви правила/изключение... всичкия трафик да заминава към централния офис както е до сега освен заявките към 192.168.15.0/24.

Надявам се правилно да съм го обяснил.

[JohnTRIVOLTA]

Ми маркирай този спецефичен трафик и му сложи път от къде да минава!

[h5rov]

Може ли малко по-подробно. Общо взето ме затруднява липсата на интерфейс при IPSec-a.

[JohnTRIVOLTA]

Еми можеше да пуснеш върху GRE IPSECа и да рутираш през него пример ! Виж пробвай да смениш приорити да е 0 към 192.168.15.0/24 мрежа и 1ца за тунела за всички останали !

[NetworkPro]

Има разни критерии IPSecа да върви например да не се NAT-ва

 

примерен bypass:

 

/ip firewall nat add chain=srcnat comment="Seattle NAT bypass" dst-address=192.168.90.0/24 src-address=192.168.30.0/24

[h5rov]

Благодаря за отговорите колеги.

Оказа се, че трябва намеса от отсрещната страна.

Тунелите сработиха по най-папагалския начин:

Тунела към външната услуга:

src-address=192.168.2.0/24 src-port=any dst-address=192.168.15.0/24 dst-port=any protocol=all
       action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=109.120.26.89
       sa-dst-address=212.114.141.12 proposal=default priority=1

Всичкия останал трафик влиза в другия тунел.

src-address=192.168.2.0/24 src-port=any dst-address=0.0.0.0/0 dst-port=any protocol=all action=encrypt
       level=require ipsec-protocols=esp tunnel=yes sa-src-address=109.120.26.89 sa-dst-address=62.20.13.15
       proposal=default priority=0

Лека и спорна!