forum.lissyara.su

Добрый день.
Такая ситуация.
Одна внутренняя сеть и один провайдер через которого поднят тоннель и весь трафик завернут через него. Все хорошо, все работает
Возник вопрос с резервированием внешнего канала и для этого подключили второго прова. Сразу посмотрел в сторону IP SLA, уже был опыт настройки и все работало. Хотел здесь поступить так же...
Тоннель через второго прова поднимать не нужно, а просто НАТить в него. И вот здесь возникла трабла. Для работы тоннеля у меня через первого провайдера прописан Exempt для всего трафика из внутренней сети. Соответственно, при падении основного канала, IP SLA отрабатывает, перестраивает маршруты, но трафик из внутренней сети не НАТится так как попадает под Exempt sad.gif
Куда копать? Есть ли возможность включать и отключать Exempt в зависимости от состояния канала?
Или есть другие механизмы?

дайте вывод sh run

Вот что касается нат0, ната и тоннеля

access-list inside_nat0_outbound_1 extended permit ip 192.168.249.0 255.255.255.0 any

nat (inside) 0 access-list inside_nat0_outbound_1
nat (inside) 1 0.0.0.0 0.0.0.0

access-list Spark_cryptomap_5 extended permit ip 192.168.249.0 255.255.255.0 any

Два внешних интерфейса:
первый SPARK (основной, в него натить не нужно)
второй Outside (резервный, в него нужно натить)

Извиняюсь рисунок не тот вставил.
Вот нужный:

а почему бы не резервировать еще и ipsec? так было бы и проще и надежнее.

Да дело в том, что на удаленной площадке есть толстый анлим канал в Инет. Между asa5510(1) и 5510(2) куплен широкий канал. На нем только Абонентская плата и трафик не считается.
А второй, резервный, это чисто ADSL

Всем спасибо. Вопрос решил, подсказали мысль люди добрые
вместо nat0 использовать статик nat самого в себя.
static (in,out) 192.168.249.0 192.168.249.0 ne 255.255.255.0