VPN магістраль між Cisco ASA 5520 та DrayTek Vigor 2930


2

Я трохи новачок VPN, тому будь ласка, будь ласка, просто мені ...

Я намагаюся використовувати можливості VPN-транкінгу брандмауера DrayTek Vigor 2930, щоб з'єднати два IPSec VPN-з'єднання з пристроєм Cisco ASA 5520, і я зав'язую себе у вузлах і сподіваюся, що хтось тут, який має більше знань / досвіду, може допомогти.

У мене віддалений сайт з двома підключеннями ADSL та вікном DrayTek. Основний офісний сайт має пристрій Cisco ASA. Я можу встановити єдине IPSec-з'єднання між двома сайтами на будь-яких IP-адресах загальнодоступних IP-з'єднань, але як тільки я намагаюся використовувати VPN-зв’язок, нічого не працює. Тунелі VPN як і раніше працюють, але трафік десь губиться. Я підозрюю, що це пов’язано з тим, що ASA не знає, як направляти трафік назад через VPN - одна хвилина, трафік з мережі мого віддаленого офісу надходить з загальнодоступної ip-адреси №1, наступна надходить з публічної адреси №2, і це не ' не знаю, що робити. Ну, це у мого новачка враження про те, що відбувається не так, але я насправді не знаю:

  1. Якщо це дійсно те, що відбувається

  2. Якщо те, що я намагаюся зробити (з'єднати два VPN-з'єднання з однієї віддаленої мережі, щоб поліпшити пропускну здатність / стійкість) можливо з комплектом, який я отримав

Хтось може допомогти?


Це справді мене тут чухає голову. Чи підтримує ISP з'єднані DSL-з'єднання? Так було б набагато простіше з одним тунелем, коли дві кінцеві точки є різними платформами.
SpacemanSpiff

"Не впадайте у відповідь, Інтернет-провайдер цього не підтримує - саме певні вимоги до коробки Vigor (див. Тут draytek.co.uk/products/vigor2930.html під VPN Trunking ) змусили мене думати, що це можливо.
Девід Хеггі

Я б подумав, що ASA буде підтримувати багаторівневу дорогу з рівними витратами і просто навантажувати баланс двох труб, коли у нього є два маршрути до того ж пункту призначення з однаковою вагою. Якщо Draytek використовує для цього якийсь протокол, він може не працювати з ASA, якщо він є власником.
SpacemanSpiff

Проблема @SpacemanSpiff полягає в тому, що вміст VPN для IPA ASA - це все, що базується на політиці, а не на маршруті - немає метрик, а лише запускає першу політику, яка відповідає трафіку на криптовалюті. Девіде, що тобі дає ASA show crypto ipsec sa?
Шейн Мадден

Хммм ... пропустити туди GRE тунель? :)
SpacemanSpiff

Відповіді:


1

Подивившись на усічений VPN, і, наскільки я розумію, вам потрібно мати два пристрої draytek - по одному на кожному кінці, щоб використовувати це.


Спасибі - я прийшов до такого висновку за останні кілька тижнів.
Девід Хеггі

0

Так, вам потрібен Draytek в кожному кінці, ви, можливо, зможете щось зламати разом, але, мабуть, варто було б зателефонувати до Draytek, якби ви це зробили.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.