Juniper SRX to Linux Raccon IPSEC и резервный туннель
Добавлено: 2013-01-31 12:27:07
Доброго времени суток.
Досталась мне одна задачка, для которой никак не могу найти решения:
есть офис с роутером juniper srx и двумя интернет-каналами. Есть сервер с линуксом (ubuntu), с которым нужно построить основной (через КАНАЛ1 на роутере juniper) и резервный (через КАНАЛ2 на роутере juniper) IPSEC.
С основным проблем нет, есть вопрос как быть с резервным? Насколько я понял ipsec-tools не поддерживает создание двух туннелей с одинаковыми ACL (не знаю как это правильно назвать, т.к. с линуксом в качестве роутера дел не имел, работал только с аппаратными роутерами):
при рестарте setkey ругается что строки 7 и 8 дублируют 4 и 5.
На аппаратных роутерах реализуется очень легко, нужно просто указать на стороне, где один пров 2 пира для IPSEC-а.
А как быть если вместо железного роутера (cisco или juniper) используется racoon
Досталась мне одна задачка, для которой никак не могу найти решения:
есть офис с роутером juniper srx и двумя интернет-каналами. Есть сервер с линуксом (ubuntu), с которым нужно построить основной (через КАНАЛ1 на роутере juniper) и резервный (через КАНАЛ2 на роутере juniper) IPSEC.
С основным проблем нет, есть вопрос как быть с резервным? Насколько я понял ipsec-tools не поддерживает создание двух туннелей с одинаковыми ACL (не знаю как это правильно назвать, т.к. с линуксом в качестве роутера дел не имел, работал только с аппаратными роутерами):
Код: Выделить всё
m0ps@serv:~$ cat /etc/ipsec-tools.d/fg-ua-cn.conf
flush;
spdflush;
spdadd 192.168.50.1/32 192.168.100.0/24 any -P out ipsec esp/tunnel/91.91.91.91-46.46.46.46/require;
spdadd 192.168.100.0/24 192.168.50.1/32 any -P in ipsec esp/tunnel/46.46.46.46-91.91.91.91/require;
spdadd 192.168.50.1/32 192.168.100.0/24 any -P out ipsec esp/tunnel/91.91.91.91-55.55.55.55/require;
spdadd 192.168.100.0/24 192.168.50.1/32 any -P in ipsec esp/tunnel/55.55.55.55-91.91.91.91/require;На аппаратных роутерах реализуется очень легко, нужно просто указать на стороне, где один пров 2 пира для IPSEC-а.
А как быть если вместо железного роутера (cisco или juniper) используется racoon