https://www.opennet.ru/openforum/vsluhforumID6/1273.html Дано:<br>Есть распределенная сеть магазинов. Локалки магазинов имеют примерно следующий вид - 192.168.1хх.0/24, где хх - номер магазина. Сетевым "центром" служит комбайн от Zyxel различных моделей (2plus, USG20, USG50 и др.)<br><br>А еще есть центральный офис со старой несегментированной сеткой 192.168.0.0/22, в которой находятся основные сервера, IP телефонная станция и пр.<br><br>Связь магазинов с офисом осуществляется посредством IPSec VPN каналов. Со стороны магазина канал образует Zyxel, а вот в офисе это либо сервер pfSense, либо CiscoASA 5520. Распределены каналы примерно поровну. И при необходимости (в основном из-за непонятных глюков) каналы перебрасываются туда-сюда. Однако такие переключения мне приходится делать "руками": указывать на zyxel-е магазина другой внешник в phase-1, удалять старый и добавлять новый маршрут на роутере локалки (Cisco3925).<br><br>Задача:<br>Настроить автоматическое переключение маршрута до сети магазина. То есть - куда подключается магазин, туда и указывает роутер офисной локалки.<br><br>Что https://www.opennet.ru/openforum/vsluhforumID6/1273.html#9 Fri, 21 Mar 2014 03:42:07 GMT &gt; Дано: <br>&gt; Есть распределенная сеть магазинов.<br><br>Чем торгуют магазины? Не поверю что нельзя потратить $600 на приличный Cisco 881 + AIS софт.<br> https://www.opennet.ru/openforum/vsluhforumID6/1273.html#8 Fri, 21 Mar 2014 03:38:41 GMT &gt; Openvpn <br><br>Если есть возможность заменить на писюки с линуксом/фряхой, то в эти-же деньги можно взять б/у Cisco 87х серии, а это полноценный нормальный DMVPN с IPSec и EIGRP - классическая и надежнейшая схема.<br> https://www.opennet.ru/openforum/vsluhforumID6/1273.html#7 Mon, 17 Mar 2014 09:24:32 GMT &gt;&gt;&gt; а провайдер один или разные везде?<br>&gt;&gt; со стороны магазинов процентов 40 это "билайн", еще 40 "энфорта", а оставшиеся <br>&gt;&gt; это разные местные провайдеры типа "Наука-связь", "Таттелеком", и пр.<br>&gt;&gt; со стороны офиса - два провайдера.<br>&gt;&gt; а вы это к чему?<br>&gt;&gt; попроасить прова что-нибудь придумать?<br>&gt; ну, если он не один, тут думай-не думаю, много не придумаешь :) <br>&gt; Ваша задача решается, но не на том, оборудовании, что есть у Вас, <br>&gt; у сожалению.<br><br>Openvpn <br><br> https://www.opennet.ru/openforum/vsluhforumID6/1273.html#6 Sun, 16 Mar 2014 12:59:21 GMT &gt;&gt; а провайдер один или разные везде?<br>&gt; со стороны магазинов процентов 40 это "билайн", еще 40 "энфорта", а оставшиеся <br>&gt; это разные местные провайдеры типа "Наука-связь", "Таттелеком", и пр.<br>&gt; со стороны офиса - два провайдера.<br>&gt; а вы это к чему?<br>&gt; попроасить прова что-нибудь придумать?<br><br>ну, если он не один, тут думай-не думаю, много не придумаешь :)<br>Ваша задача решается, но не на том, оборудовании, что есть у Вас, у сожалению.<br> https://www.opennet.ru/openforum/vsluhforumID6/1273.html#5 Sun, 16 Mar 2014 10:17:11 GMT &gt; а провайдер один или разные везде?<br><br>со стороны магазинов процентов 40 это "билайн", еще 40 "энфорта", а оставшиеся это разные местные провайдеры типа "Наука-связь", "Таттелеком", и пр.<br><br>со стороны офиса - два провайдера.<br><br>а вы это к чему?<br>попроасить прова что-нибудь придумать?<br> https://www.opennet.ru/openforum/vsluhforumID6/1273.html#4 Sat, 15 Mar 2014 17:09:56 GMT &gt;[оверквотинг удален]<br>&gt; сработает. Дело в том, что на Zyxel-ях магазинов можно помимо основного, <br>&gt; прописать еще и "Redundant Remote Gateway" (внешник второго офисног VPN шлюза) <br>&gt; - вот тогда переключение будет автоматическим и не всегда связанным с <br>&gt; падением.<br>&gt; Я спрашиваю о том, как максимально избавиться от ручной работы. Я скорее <br>&gt; настрою sla с track-ами, но по крайней мере у меня всегда <br>&gt; будет только один маршрут до сети магазина.<br>&gt; Может есть какой-нибудь механизм типа helper-address, но только для OSPF-овских мультикастов? <br>&gt; Тогда можно было бы вещать сети магазинов на ASA без GRE <br>&gt; и прочих заморок.<br><br>хотя да, согласен, без vti или gre это так или иначе превращается в ту еще головомойку.<br>а провайдер один или разные везде?<br> https://www.opennet.ru/openforum/vsluhforumID6/1273.html#3 Sat, 15 Mar 2014 14:34:51 GMT &gt;[оверквотинг удален]<br>&gt; сработает. Дело в том, что на Zyxel-ях магазинов можно помимо основного, <br>&gt; прописать еще и "Redundant Remote Gateway" (внешник второго офисног VPN шлюза) <br>&gt; - вот тогда переключение будет автоматическим и не всегда связанным с <br>&gt; падением.<br>&gt; Я спрашиваю о том, как максимально избавиться от ручной работы. Я скорее <br>&gt; настрою sla с track-ами, но по крайней мере у меня всегда <br>&gt; будет только один маршрут до сети магазина.<br>&gt; Может есть какой-нибудь механизм типа helper-address, но только для OSPF-овских мультикастов? <br>&gt; Тогда можно было бы вещать сети магазинов на ASA без GRE <br>&gt; и прочих заморок.<br><br>вовсе нет, я вообще за то, чтобы свести статические маршруты к минимуму - большая часть информации должна передаваться динамически.<br> https://www.opennet.ru/openforum/vsluhforumID6/1273.html#2 Sat, 15 Mar 2014 13:30:57 GMT Вариант рабочий, но недостаточный. Вы предлагаете увеличить число статических маршрутов вдвое (а это порядка 160 записей "руками"!). К тому же если у меня НИЧЕГО не упало, а магазин поменял-таки VPN-шлюз, это не сработает. Дело в том, что на Zyxel-ях магазинов можно помимо основного, прописать еще и "Redundant Remote Gateway" (внешник второго офисног VPN шлюза) - вот тогда переключение будет автоматическим и не всегда связанным с падением.<br><br>Я спрашиваю о том, как максимально избавиться от ручной работы. Я скорее настрою sla с track-ами, но по крайней мере у меня всегда будет только один маршрут до сети магазина.<br><br>Может есть какой-нибудь механизм типа helper-address, но только для OSPF-овских мультикастов? Тогда можно было бы вещать сети магазинов на ASA без GRE и прочих заморок.<br><br> https://www.opennet.ru/openforum/vsluhforumID6/1273.html#1 Sat, 15 Mar 2014 10:18:59 GMT &gt;[оверквотинг удален]<br>&gt; магазин, туда и указывает роутер офисной локалки.<br>&gt; Что пробовал: <br>&gt; Среди маршрутизаторов магазинов довольно часто встречается ZyxelUSG20, который умеет <br>&gt; OSPF.<br>&gt; pfSense и ASA его тоже умеют, но я так понял, только посредством <br>&gt; multicast-ов (есть исключение - http://xgu.ru/wiki/Cisco_ASA/OSPF_IPSec но это не мой <br>&gt; случай). Мультикасты я так понял можно пустить по GRE-тонелю (КРУТО!), вот <br>&gt; только ASA их не умеет делать.<br>&gt; Подскажите - есть ли альтернативное OSPF-у решение (может ip sla?).<br>&gt; Если надо - могу схемку прислать.<br><br>можно держать оба канала в апе и получать маршруты с разной метрикой от двух хабов - главный упал - все пошло по резервному, вернулся главный - пошло через него все опять.<br>