Я реально запутался здесь. У меня следующая конфигурация: 2 маршрутизатора MT, один с публичным статическим IP, другой с публичным динамическим IP. Конфигурация, которая не работает, но должна:
MT1 (статический IP):
Я определяю пир 0.0.0.0/0 для всего остального, и добавляю generate policy и отключаю init connection. Политики не делаю.
MT2 (динамический IP):
Я определяю пир для статического IP MT1, всё остальное, и включаю init connection. Политика MT2 subnet -> MT1 subnet, sa src 0.0.0.0 (не знаю, что тут с динамическим IP), sa dst IP MT1. Это создает ISAKMP-соединение, но потом на MT2 политика говорит "готов отправить", а пакеты отбрасываются, а на MT1 политика не создается.
Конфигурация, которая работает (но не очень):
Та же самая конфигурация, но на MT2 я также определяю sa src с динамическим IP, который есть у маршрутизатора на данный момент. Тогда всё работает и политика создается на MT1, и трафик идёт нормально.
Но есть одна проблема здесь. Поскольку я определяю sa src, который меняется, это не лучший способ… Какие есть идеи???
pascal
MT1 (статический IP):
Я определяю пир 0.0.0.0/0 для всего остального, и добавляю generate policy и отключаю init connection. Политики не делаю.
MT2 (динамический IP):
Я определяю пир для статического IP MT1, всё остальное, и включаю init connection. Политика MT2 subnet -> MT1 subnet, sa src 0.0.0.0 (не знаю, что тут с динамическим IP), sa dst IP MT1. Это создает ISAKMP-соединение, но потом на MT2 политика говорит "готов отправить", а пакеты отбрасываются, а на MT1 политика не создается.
Конфигурация, которая работает (но не очень):
Та же самая конфигурация, но на MT2 я также определяю sa src с динамическим IP, который есть у маршрутизатора на данный момент. Тогда всё работает и политика создается на MT1, и трафик идёт нормально.
Но есть одна проблема здесь. Поскольку я определяю sa src, который меняется, это не лучший способ… Какие есть идеи???
pascal
Eugene