https://www.opennet.ru/openforum/vsluhforumID6/23505.html Добрый день!<br>Сейчас на циске настроен vpn через одного из провайдеров, нужно настроить и! через второго. (альтернативный канал, на случай падения первого)<br>Начну с асы, тут ничего особенного.<br>есть интерфейс на ASA, назовем его 0/2.1, он для входящего трафика при подключении VPN и для общего исходящего трафика, часть исходящий трафик натится на него и потом уже разгребается на 2800 через route-map между двумя провайдерами<br>на ASA настроен роутинг: ip route 0.0.0.0 0.0.0.0 через интерфейс 0/2.1<br><br>далее 2800, есть интервейс 0/1 который коннектится к асе, на нем и прописаны route-map'ы.<br>так же есть интерфейс 0/0.1-ый провайдер и 0/0.2-второй провайдер<br>соответственно сейчас если коннектимся к vpn, трафик приходит на 0/0.1 затем на asa 0/2.1 и обратно на 2800 через 0/1 на 0/0.1, как то так...<br><br>как лучше пустить трафик со второго провайдера?<br>вариант который я пробовал, но он не работает: на циске настроил интерфейс 0/3.2 с внешним айпи, соответственно трафик приходит на него и уходит согласно ip route на 0/2 https://www.opennet.ru/openforum/vsluhforumID6/23505.html#11 Wed, 08 Feb 2012 08:57:30 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; nat. А на 2800 сделать route-map соответствующий.<br>&gt;&gt;&gt; Разные политики тогда и разные группы vpn? разные настройки, думаю не самый <br>&gt;&gt;&gt; удобный вариант. Если политика одна то соответственно натится будут все подкючения, <br>&gt;&gt;&gt; и уходить на резервный канал. Основной тогда не будет работать.<br>&gt;&gt;&gt; по поводу рисунка, если поменять местами Inet1 и Inet2 ничего не изменится, <br>&gt;&gt;&gt; два выхода на инет, между asa и 2800 единственный канал, в <br>&gt;&gt;&gt; комментах логов все это прописано, не знаю даже куда подробнее <br>&gt;&gt; я че-то уже совсем запутался. Вам необходимо удаленных пользователей(VPN) пускать не через <br>&gt;&gt; 1-го провайдера, а через второго?Так?<br>&gt; через 1ого, и иметь альтернативный канал на случай если первый провайдер умрет <br><br>Поскольку на удаленной стороне АСА вариантов у вас не много :) я в том смысле что под АСА нельзя инициализировать два полноценных рабочих тунеля от 2800. Поэтому если не жаль денег за оплату резервного пустующего канала - можете настроить IPSLA на 2800.<br> https://www.opennet.ru/openforum/vsluhforumID6/23505.html#10 Wed, 08 Feb 2012 08:15:22 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; vpn-клиенты, но в другой ip, отличный от основного, который используется для <br>&gt;&gt;&gt; nat. А на 2800 сделать route-map соответствующий.<br>&gt;&gt; Разные политики тогда и разные группы vpn? разные настройки, думаю не самый <br>&gt;&gt; удобный вариант. Если политика одна то соответственно натится будут все подкючения, <br>&gt;&gt; и уходить на резервный канал. Основной тогда не будет работать.<br>&gt;&gt; по поводу рисунка, если поменять местами Inet1 и Inet2 ничего не изменится, <br>&gt;&gt; два выхода на инет, между asa и 2800 единственный канал, в <br>&gt;&gt; комментах логов все это прописано, не знаю даже куда подробнее <br>&gt; я че-то уже совсем запутался. Вам необходимо удаленных пользователей(VPN) пускать не через <br>&gt; 1-го провайдера, а через второго?Так?<br><br>через 1ого, и иметь альтернативный канал на случай если первый провайдер умрет<br> https://www.opennet.ru/openforum/vsluhforumID6/23505.html#9 Wed, 08 Feb 2012 07:32:17 GMT &gt;[оверквотинг удален]<br>&gt;&gt; провайдер.<br>&gt;&gt; Второй путь сделать nat vpn-клиентов на тот же интерфейс, куда и коннектятся <br>&gt;&gt; vpn-клиенты, но в другой ip, отличный от основного, который используется для <br>&gt;&gt; nat. А на 2800 сделать route-map соответствующий.<br>&gt; Разные политики тогда и разные группы vpn? разные настройки, думаю не самый <br>&gt; удобный вариант. Если политика одна то соответственно натится будут все подкючения, <br>&gt; и уходить на резервный канал. Основной тогда не будет работать.<br>&gt; по поводу рисунка, если поменять местами Inet1 и Inet2 ничего не изменится, <br>&gt; два выхода на инет, между asa и 2800 единственный канал, в <br>&gt; комментах логов все это прописано, не знаю даже куда подробнее <br><br>я че-то уже совсем запутался. Вам необходимо удаленных пользователей(VPN) пускать не через 1-го провайдера, а через второго?Так?<br> https://www.opennet.ru/openforum/vsluhforumID6/23505.html#8 Wed, 08 Feb 2012 06:19:16 GMT &gt;[оверквотинг удален]<br>&gt;&gt; http://s001.radikal.ru/i194/1202/ab/cb7079215ef7.jpg <br>&gt; сложно достаточно понять, что Вы там придумываете...лучше, чем Вы не скажет никто, <br>&gt; а проблему не решит тем более. На рисунке желательно приводить ip <br>&gt; и имена интерфейсов.<br>&gt; А почему бы Вам не попробывать сделать nat с ip, которые присваиваются <br>&gt; Вами vpn-клиентам в дополнительный интерфейс, который смотрит на прямую на второй <br>&gt; провайдер.<br>&gt; Второй путь сделать nat vpn-клиентов на тот же интерфейс, куда и коннектятся <br>&gt; vpn-клиенты, но в другой ip, отличный от основного, который используется для <br>&gt; nat. А на 2800 сделать route-map соответствующий.<br><br>Разные политики тогда и разные группы vpn? разные настройки, думаю не самый удобный вариант. Если политика одна то соответственно натится будут все подкючения, и уходить на резервный канал. Основной тогда не будет работать.<br><br>по поводу рисунка, если поменять местами Inet1 и Inet2 ничего не изменится, два выхода на инет, между asa и 2800 единственный канал, в коммен https://www.opennet.ru/openforum/vsluhforumID6/23505.html#7 Wed, 08 Feb 2012 06:03:25 GMT &gt;&gt; нет картинки <br>&gt; http://s001.radikal.ru/i194/1202/ab/cb7079215ef7.jpg <br><br>сложно достаточно понять, что Вы там придумываете...лучше, чем Вы не скажет никто, а проблему не решит тем более. На рисунке желательно приводить ip и имена интерфейсов.<br>А почему бы Вам не попробывать сделать nat с ip, которые присваиваются Вами vpn-клиентам в дополнительный интерфейс, который смотрит на прямую на второй провайдер.<br><br>Второй путь сделать nat vpn-клиентов на тот же интерфейс, куда и коннектятся vpn-клиенты, но в другой ip, отличный от основного, который используется для nat. А на 2800 сделать route-map соответствующий.<br> https://www.opennet.ru/openforum/vsluhforumID6/23505.html#6 Wed, 08 Feb 2012 02:37:25 GMT &gt; вообще Вам нужно посмотреть с какого ip приходит интерисующий трафик, а уже <br>&gt; потом строить route-map. Может у на 2800 приходит траф не с <br>&gt; того ip, который Вы указали в route-map.<br>&gt; Что счетчики говорят для route-map для нужного трафа?есть срабатывание?<br><br>как это можно глянуть? с 100.100.100.202 на Cisco 2800 идет огромный трафик и останавливать его нельзя<br><br>счетчик route-map с match 200.200.200.78 молчит, говорит что ничего не идет :(<br>я верно понимаю что весь трафик с Ethernet0/3.2 согласно роутингу будет уходить через Ethernet0/2.1, дополнительно ничего не надо прописывать?<br> https://www.opennet.ru/openforum/vsluhforumID6/23505.html#5 Wed, 08 Feb 2012 02:34:19 GMT &gt; нет картинки <br><br>http://s001.radikal.ru/i194/1202/ab/cb7079215ef7.jpg<br> https://www.opennet.ru/openforum/vsluhforumID6/23505.html#4 Tue, 07 Feb 2012 17:58:25 GMT &gt;[оверквотинг удален]<br>&gt;&gt; !<br>&gt;&gt; route Internet1 0.0.0.0 0.0.0.0 100.100.100.201 1 <br>&gt;&gt; На асе подняты VPN'ы: AnyConnect и IPSec. на 100.100.100.202 они замечательно работают.<br>&gt;&gt; пытался дописать к интерфейсу 0/1 cisco 2800 route-map ISP, и матчить по <br>&gt;&gt; адресу 200.200.200.78, не то <br>&gt;&gt; да и вообще по идеи (моим, познания в циско на уровне.. мм <br>&gt;&gt; пока еще низком) пинг должен приходить на циску по каналу первого <br>&gt;&gt; провайдера а потом возвразаться ко мне по кналу второго провайдера, даже <br>&gt;&gt; при таком неверном подключении, но почему не возвращается??<br>&gt; нет картинки <br><br>вообще Вам нужно посмотреть с какого ip приходит интерисующий трафик, а уже потом строить route-map. Может у на 2800 приходит траф не с того ip, который Вы указали в route-map. <br>Что счетчики говорят для route-map для нужного трафа?есть срабатывание?<br> https://www.opennet.ru/openforum/vsluhforumID6/23505.html#3 Tue, 07 Feb 2012 17:54:38 GMT &gt;[оверквотинг удален]<br>&gt; ip address 200.200.200.78 255.255.255.252 <br>&gt; !<br>&gt; route Internet1 0.0.0.0 0.0.0.0 100.100.100.201 1 <br>&gt; На асе подняты VPN'ы: AnyConnect и IPSec. на 100.100.100.202 они замечательно работают. <br>&gt; пытался дописать к интерфейсу 0/1 cisco 2800 route-map ISP, и матчить по <br>&gt; адресу 200.200.200.78, не то <br>&gt; да и вообще по идеи (моим, познания в циско на уровне.. мм <br>&gt; пока еще низком) пинг должен приходить на циску по каналу первого <br>&gt; провайдера а потом возвразаться ко мне по кналу второго провайдера, даже <br>&gt; при таком неверном подключении, но почему не возвращается??<br><br>нет картинки<br><br>