Алексей Тен, у вас есть пример конфига, с которым все продолжит гарантированно работать на оставшемся канале без вмешательств? У меня пока с этим не получилось.
АртемЪ, у меня есть 2 канала по 200Мбит/с. Офис "ест" достаточно много трафика и я бы хотел иметь возможность утилизировать оба канада по 200Мбит/с, но одновременно с этим если один канал упадет, чтобы все продолжило работать на оставшемся канале автоматически.
У меня клиенты постоянно работают с Google-сервисами с авторизацией. Полагаю, что в случае первого варианта могут быть проблемы со слетом этой авторизации. Также у меня в сети есть IP телефоны, которые коннектятся на облачную АТС. Поэтому полагаю, что мне подойдет вариант номер 2.
Поправил. Теперь на промежуточном роутере виден IPsec (50) и изредка UDP по 500 порту (ISAKMP) между WAN-интерфейсами роутеров - это как я понимаю, верно? Вот конфиг для IPsec:
- туннельный режим (tunnel=yes)
- транспортный режим (tunnel=no)
В теории я знаю, что в туннельном режиме инкапсулируется и шифруется весь исходный IP пакет, а в транспортном лишь добавляются аутентификационные данные между заголовком исходного пакета и полем данных. Но я не могу интерпретировать эти теоретические знания в практическом применении к данному примеру.
Другими словами, почему в этом примере нужно использовать именно транспортный режим, а не туннельный? Только потому, что это избыточно т.к. у нас уже есть GRE-туннель? Или есть более веские причины? Спасибо.
Все получилось. Прикладываю конфиг стенда. Прошу покритиковать, если что не так. О том, что IPsec встал я сужу по мониторингу с серединного роутера, который находится в топологии между роутером 1 и роутером 2.
Роутер 1 имеет интерфейсы:
WAN: 10.10.10.2
LAN: 192.168.100.1
Роутер 2 имеет интерфейсы:
WAN: 10.20.20.2
LAN: 192.168.200.1
Соответственно, за роутером 1 находится сеть 192.168.100.0/24, за роутером 2 находится сеть 192.168.200.0/24.
Создаем GRE туннель:
Конфиг router 1:
interface gre add name=gre1 remote-address=10.20.20.2 local-address=10.10.10.2
ip address add address=172.16.1.1/30 interface=gre1
ip route add dst-address=192.168.200.0/24 gateway=172.16.1.2
Конфиг router 2:
interface gre add name=gre1 remote-address=10.10.10.2 local-address=10.20.20.2
ip address add address=172.16.1.2/30 interface=gre1
ip route add dst-address=192.168.100.0/24 gateway=172.16.1.1
Однако, есть вопрос - при пинге из сети 192.168.100.0/24 в сеть 192.168.200.0/24 на серединном роутере я вижу IPsec - это ОК. И периодически проскакивает GRE с WAN router 1 на WAN router 2 - нормально ли это? И если да, то как это объяснить, ведь GRE по идее "завернуть" в IPsec? Спасибо.
Собрал стенд по Вашему рецепту. На промежуточном роутере вижу лишь GRE-трафик и периодические попытки обмена ISAKMP по 500/UDP. При этом installed-sa не появляются. В чем могут быть грабли?
Спасибо за ответ и пример конфига. Честно, не знаком с GRE совсем - буду изучать вопрос. По опыту лишь знаю, что зачастую через многих провайдеров не работает PPTP, который использует GRE, потому что часто провайдеры этот самый GRE фильтруют. Отсюда вопрос - верно ли я понимаю, что в Вашем примере это не является помехой т.к. GRE инкапсулирован в IPsec и для провайдеров не виден? Маршрутизаторы провайдеров лишь будут видеть IPsec туннель через себя?
И еще вопрос - можно ли таким образом объединять офисы, помещая их в один broadcast-домен с одинаковой адресацией?