volvo 10 Geschrieben 22. Januar 2011 Autor Melden Teilen Geschrieben 22. Januar 2011 Also müsste man es so machen, dass wenn 1te weg ist er die zweite auf macht? Bzw sind es doch 2 unterschiedliche wege also warum ist phase2 gleich? müßte doch von 192.168.0.x zu 85.x.x.x und von hier zu 43.x.x.x zu 86.x.x.x und von hier zu irgendwas.dynds.org gehen. Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 22. Januar 2011 Melden Teilen Geschrieben 22. Januar 2011 Hi, weil in der Phase 2 - der "Interestet Traffik" definiert wird und an welche IP auf der anderen Seite gesendet wird - und der "Interestet Traffik" ist ja der selbe. Man kann mit Backup IPSec Tunneln arbeiten - aber das ist auch nicht mal eben Zitieren Link zu diesem Kommentar
volvo 10 Geschrieben 22. Januar 2011 Autor Melden Teilen Geschrieben 22. Januar 2011 ich hatte gedacht man kann 2 einzelne tunnel aufbauen und dann der internen ip sagen wenn die verbindung nicht da nimm die andere. Das es nicht mal schnell gemacht ist merke ich schon. Sitze da schon nen ganze weile dran und guck dumm aus der wäsche und komme nicht weiter bin glaube einfach zu unintelligent Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 22. Januar 2011 Melden Teilen Geschrieben 22. Januar 2011 hi, genau das wird so nicht gehen - man kann die VPN Sessions mit Backup IP´s austatten - dann sollte es gehen - dann hast du nur wieder auf der anderen Seite das Problem - wie er das wissen soll welche - mit Wizards geht es auf keinen Fall. Hätte per Hand nen paar Ideen müsste ich auch durchspielen und schaun was wann passiert. Es ist im VPN so nicht so einfach vorgesehen. Man könnte es versuchen mit mehren Routern aufzubauen und dann per Ping checken welche da ist und daraus resultieren das Routing drehen - wenn man mehrere Kisten hat - sonst geht es nur mit Backup IP´s Das nächste Problem was du bekommst - ist bei 2 ISPs auf einer Kiste = 2 Default GW nach draussen. Also zaubern ist da angesagt. Zitieren Link zu diesem Kommentar
volvo 10 Geschrieben 23. Januar 2011 Autor Melden Teilen Geschrieben 23. Januar 2011 Hmm irgendwie verstehe ich das und irgendwie auch nicht. Gesetzt dem falle ich habe 2 VPNs aufgebaut kann man dann nicht mit hearthbeat oder so ähnliche sagen geht los? oder vielleicht auch anders. wenn erste leitung weg baue die zweite auf also die 2te nur dann wenn die erste nicht mehr da. Mir wurde mal gesagt das ein Vyatta das wohl kann. Nun was auch immer mag sein aber ich dachte wenn die das können kann Cisco das erst recht. Ich mag Cisco. Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 23. Januar 2011 Melden Teilen Geschrieben 23. Januar 2011 Es gibt keinen Schalter - baue VPN Session x auf - die baut sich auf - sobald der passende Traffik dafür da ist. Und der wird in Phase 2 definiert - und ist nunmal gleich. Dann hast du die beiden ISPs - da hast du ja auch 2 Default Gateways - und da darf das Paket ja nur über den X und nicht über Y gehen. Es wird immer Geräte anderer Hersteller geben die etwas besser als Cisco machen - Cisco ist halt Mainstream und decken ein ganzes Netz ab. PS.: Vom Design - wenn du schon mit 2 ISP´s arbeitest - dann auch mit mehreren Geräten - den der Point of Failure bleibt. Zitieren Link zu diesem Kommentar
jussi 11 Geschrieben 25. Januar 2011 Melden Teilen Geschrieben 25. Januar 2011 so einen schalter gibt es schon bei diversen cisco routern such mal nach ip sla oder auch ip tracking. 1) du definiertst eine bedingung * ip sla 1 <nummer egal, hauptsache unique> * icmp-echo x.y.z.n <irgendwas was nur über die "richtige" leitung erreicht werden kann, im schlimmsten fall eine hostroute dorthin legen und so das ereichen nur auf der richtigen leitung erzwingen * timeout 500 <zeit in ms> * frequency 3 <sooft muss es fehlschlagen> * ip sla schedule 1 start-time now life forever <ping es und hör nicht auf damit> * track 1 rtr 1 reachability <bedingung definieren> 2) bedingung an route(n) knüpfen * ip route <netz> <maske> <gw-1> track 1 * ip route <netz <maske> <gw2> 10 die erste route ist die primäre, welche bei erfüllter bedingung immer genommen wird, die zweite route ist die fallback route, schlechtere metric nicht vergessen (10 ist nur nen beispiel) damit nach wiedererreichbarkeit der ertsen strecke wieder die "richtige" verbindung genommen wird. ABER. das ist eklig, fehleranfällig, eklig, wird nicht von allen ios versionen unterstützt, extrem statisch, eklig und eklig. Wenn du die kontrolle über alle endpunkte hast willst du nicht sowas machen sondern dynamisches routing (bei dem setup empfehle ich ospf) innerhalb des vpn etablieren. Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 25. Januar 2011 Melden Teilen Geschrieben 25. Januar 2011 Hallo, das mit dem Routing würde ja alles passen - aber wir haben das Problem die VPN Session zu schwenken - und das geht so nicht. Zitieren Link zu diesem Kommentar
sessi 10 Geschrieben 27. Januar 2011 Melden Teilen Geschrieben 27. Januar 2011 Hi Ich würde es mit GRE over IPSEC versuchen. Die Idee dahinter ist, zwei VPN`s aufzubauen und darüber zwei GRE Tunnel zu legen. Danach kannst du OSPF einschalten. Dann erledigt das OSPF die Redundanz. Link: Configuring a GRE Tunnel over IPsec with OSPF - Cisco Systems Gruss Sessi Zitieren Link zu diesem Kommentar
jussi 11 Geschrieben 16. März 2011 Melden Teilen Geschrieben 16. März 2011 ich möchte das hier noch mal aufwärmen. Black, wird hier (write mem - Redunant IOS VPN – Applying your crypto map to 2 interfaces) das problem mit dem interested traffic nicht umgangen? Würde das auch funktionieren wenn auf beiden seiten 2 ISPs sind? Oder muss man zwingend die lösung von sessi bauen? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.