https://opennet.ru/openforum/vsluhforumID6/23701.html Приветствую. Есть задача организации IPSec туннеля между Juniper SRX240 и ASA5520.<br><br>Juniper имеет 2 линка в интернет (внешние адреса). У ASA выход в интернет один, но надежный. Необходимо сделать чтобы у SRX240 через 1 линк всегда был поднят туннель и в случае падения этого линка - туннель поднимался через запасной канал. Со стороны ASA оба этих пира (Juniper) должны быть равноценными (т.е. одновременно работать должно только по 1 пиру). Задача осложняется еще и тем, что в IPSec нужно пихать несколько разных сетей.<br><br>Со стороны ASA вроде как понятно (если не прав, то поправьте):<br><br>access-list IPSEC-tunnel permit ip 172.16.0.0 255.255.0.0 10.0.0.0 255.0.0.0<br>access-list IPSEC-tunnel permit ip 192.168.0.0 255.255.0.0 10.0.0.0 255.0.0.0<br>crypto ipsec transform-set 3des-sha esp-3des esp-sha-hmac<br>crypto map RTP 1 match address IPSEC-tunnel<br>crypto map RTP 1 set peer X.X.X.X Y.Y.Y.Y<br>crypto map RTP 1 set transform-set 3des-sha des-sha<br>crypto map RTP interface outside<br>crypto isakmp identity address<br>crypto is https://opennet.ru/openforum/vsluhforumID6/23701.html#7 Wed, 18 Apr 2012 07:18:03 GMT &gt; кстати, policy-based у меня так и не заработал между asa и juniper(правда <br>&gt; не сильно может быть старался<br><br>Победил. ASA настраивал как тут: http://prosto-seti.blogspot.com/2010/08/juniper-srx-cisco-asa.html<br><br>Juniper SRX настраивал как тут: http://www.junos.com/techpubs/en_US/junos11.1/information-products/topic-collections/security/software-all/security/index.html?topic-42178.html<br><br>В итоге через policy-based удалось решить проблему.<br><br> https://opennet.ru/openforum/vsluhforumID6/23701.html#6 Mon, 16 Apr 2012 10:29:26 GMT &gt;&gt;&gt;&gt; Привет, <br>&gt;&gt;&gt;&gt; такие вопросы лучше задавать на nag.ru <br>&gt;&gt;&gt; мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей, <br>&gt;&gt;&gt; которых нет на ASA <br>&gt;&gt; А разве на ASA в crypto map нельзя резервного пира прописать, разве <br>&gt;&gt; нет? :) <br>&gt; ezvpn на ASA можно прописать бэкапный peer - но здесь site-to-site - <br>&gt; есть БОЛЬШИЕ сомнения <br><br>кстати, policy-based у меня так и не заработал между asa и juniper(правда не сильно может быть старался)<br> https://opennet.ru/openforum/vsluhforumID6/23701.html#5 Mon, 16 Apr 2012 10:28:32 GMT &gt;&gt;&gt; Привет, <br>&gt;&gt;&gt; такие вопросы лучше задавать на nag.ru <br>&gt;&gt; мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей, <br>&gt;&gt; которых нет на ASA <br>&gt; А разве на ASA в crypto map нельзя резервного пира прописать, разве <br>&gt; нет? :) <br><br>ezvpn на ASA можно прописать бэкапный peer - но здесь site-to-site - есть БОЛЬШИЕ сомнения<br> https://opennet.ru/openforum/vsluhforumID6/23701.html#4 Mon, 16 Apr 2012 06:45:23 GMT &gt;&gt; Привет, <br>&gt;&gt; такие вопросы лучше задавать на nag.ru <br>&gt; мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей, <br>&gt; которых нет на ASA <br><br>А разве на ASA в crypto map нельзя резервного пира прописать, разве нет? :)<br> https://opennet.ru/openforum/vsluhforumID6/23701.html#3 Mon, 16 Apr 2012 05:57:46 GMT &gt; мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей, <br>&gt; которых нет на ASA <br><br> Это можно решить через policy-based?<br><br> https://opennet.ru/openforum/vsluhforumID6/23701.html#2 Sat, 14 Apr 2012 18:16:39 GMT &gt; Привет, <br>&gt; такие вопросы лучше задавать на nag.ru <br><br>мне непонятно, как Вы собираетесь делать автоматическое переключение каналов без gre-туннелей, которых нет на ASA<br> https://opennet.ru/openforum/vsluhforumID6/23701.html#1 Fri, 13 Apr 2012 19:43:35 GMT Привет, <br><br>такие вопросы лучше задавать на nag.ru<br>