Jump to content

IPSec тунел към повече от един рутер


Recommended Posts

Здравейте,

Имам следния казус на който не мога да намеря решение, дали концепцията ми е сбъркана или нещо не ми достига, ще кажете Вие.

Имам 3 офиса които са свързани с IPSec.

Сегашната конфигурация е: двата малки офиса сe свързват с IPSec тунел към централния.

src-address=192.168.2.0/24 src-port=any dst-address=0.0.0.0/0 dst-port=any protocol=all action=encrypt
       level=require ipsec-protocols=esp tunnel=yes sa-src-address=109.120.26.89 sa-dst-address=62.20.13.15
       proposal=default priority=0

Така целия трафик от малките офиси заминава към централния, там ги посреща един фаерлол Fortigate 100D, който филтрира, сканира трафика и още разни глупости.

Принципно нещата така работят без проблеми, но сега ми се налага да изградя директна свързаност от малките офиси към външна услуга.

Както и да се опитвам да създам втори тунел, например:

src-address=192.168.2.0/24 src-port=any dst-address=192.168.15.0/24 dst-port=any protocol=all
       action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=109.120.26.89
       sa-dst-address=212.114.141.12 proposal=default priority=1 (или priority=0)

Трафика не заминава въобще към втория тунел.

Има ли вариант с някакви правила/изключение... всичкия трафик да заминава към централния офис както е до сега освен заявките към 192.168.15.0/24.

Надявам се правилно да съм го обяснил.

Адрес на коментара
Сподели в други сайтове

  • Администратор

Еми можеше да пуснеш върху GRE IPSECа и да рутираш през него пример ! Виж пробвай да смениш приорити да е 0 към 192.168.15.0/24 мрежа и 1ца за тунела за всички останали !

Адрес на коментара
Сподели в други сайтове

Има разни критерии IPSecа да върви например да не се NAT-ва

 

примерен bypass:

 

/ip firewall nat add chain=srcnat comment="Seattle NAT bypass" dst-address=192.168.90.0/24 src-address=192.168.30.0/24

-

Адрес на коментара
Сподели в други сайтове

Благодаря за отговорите колеги.

Оказа се, че трябва намеса от отсрещната страна.

Тунелите сработиха по най-папагалския начин:

Тунела към външната услуга:

src-address=192.168.2.0/24 src-port=any dst-address=192.168.15.0/24 dst-port=any protocol=all
       action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=109.120.26.89
       sa-dst-address=212.114.141.12 proposal=default priority=1

Всичкия останал трафик влиза в другия тунел.

src-address=192.168.2.0/24 src-port=any dst-address=0.0.0.0/0 dst-port=any protocol=all action=encrypt
       level=require ipsec-protocols=esp tunnel=yes sa-src-address=109.120.26.89 sa-dst-address=62.20.13.15
       proposal=default priority=0

Лека и спорна!

Адрес на коментара
Сподели в други сайтове

Създайте нов акаунт или се впишете, за да коментирате

За да коментирате, трябва да имате регистрация

Създайте акаунт

Присъединете се към нашата общност. Регистрацията става бързо!

Регистрация на нов акаунт

Вход

Имате акаунт? Впишете се оттук.

Вписване
  • Потребители разглеждащи страницата   0 потребители

    • No registered users viewing this page.
×
×
  • Създай нов...

Important Information

By using this site, you agree to our Terms of Use.