Für Juniper NetScreen-NS25 habe ich einen Site-to-Site-IPSec-Tunnel konfiguriert. Für die externe Schnittstelle der Remote-Site musste ich auch durch einen Tunnel gehen, der dieselbe IP wie das IPSec-Gateway hat. Wenn ich jetzt eine statische Route hinzufüge, um diese externe Schnittstellen-IP durch den Tunnel zu leiten, während der Tunnel aktiv ist, gibt es überhaupt kein Problem, aber wenn der Tunnel aus irgendeinem Grund ausfällt, kann er nicht wiederhergestellt werden, da das Routing für die IPSec-Gateway-IP, die dieselbe ist wie die externe Schnittstellen-IP, so eingestellt ist, dass es durch den Tunnel geht, der zu diesem Zeitpunkt neu eingerichtet werden musste. Daher erreichen Pakete diese IP nicht. Ich habe versucht, einen anderen Routing-Eintrag mit Metrik 2 über ein anderes Gateway hinzuzufügen, aber das hat nicht funktioniert. Welche Art von Routing sollte ich also konfigurieren, um diese IP zu erreichen, wenn der Tunnel ausgefallen ist? Vielen Dank im Voraus.
Antwort1
Sie sollten ein Routing zum Endpunkt über das Schnittstellengerät haben. Dies hat Vorrang vor einem breiteren Routing zu den Servern hinter dem Tunnel. Niedrigere Metriken haben eine höhere Priorität. Metrik 2 wird nicht verwendet, wenn Metrik 1 oder 0 verfügbar ist.
Das Failover-Routing muss mit einer Überwachungssoftware konfiguriert werden, die das Routing ändert. Das Mischen von Routings zur gleichen IP-Adresse ist schwierig.