Приветствую.
Разбираю вот схему.
Есть 2 роутера (2801,ADV IP SERVICES) расположенные в разных городах. Надо организовать ип-туннель с шифрованием передаваемой информации и, желательно, с возможностью динамического переключения на резервный туннель в случае падения канала провайдера (в каждом городе на роутер приходит 2 аплинка от разных ISP).
Подводный камень в том, что в одном из городов, поднят IP-туннель до промежуточного провайдера (у него трафик чуть дешевле).
В итоге в городе А картина выглядит как:
RT-A->ISP-A1
RT-A->ISP-A2
а в городе B как:
RT-B->ISP-B1
RT-B->ISP-B2->ISP-B3[IPIP TUN]
Первый IPSEC-VTI (между адресами полученными от ISP-A1 и ISP-B1) поднимается, и оба конца туннеля пингуются.
Второй IPSEC-VTI (между адресами полученными от ISP-A2 и ISP-B3) поднимается но концы туннеля не пингуются
отладка IP пакетов показывает что обмен трафиком есть:
Dec 23 16:52:41.450: IP: tableid=0, s=192.168.102.14 (Tunnel4), d=192.168.102.13 (Tunnel4), routed via RIB
Dec 23 16:52:41.450: IP: s=192.168.102.14 (Tunnel4), d=192.168.102.13 (Tunnel4), len 100, rcvd 3
Dec 23 16:52:41.450: ICMP type=8, code=0
Dec 23 16:52:41.454: IP: tableid=0, s=192.168.102.13 (local), d=192.168.102.14 (Tunnel4), routed via FIB
Dec 23 16:52:41.454: IP: s=192.168.102.13 (local), d=192.168.102.14 (Tunnel4), len 100, sending
Dec 23 16:52:41.454: ICMP type=0, code=0
(192.168.102.13 & 102.14 - концы туннеля)
Но вот результат:
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.102.13, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
Возможен ли вообще такой вариант? (работа IPSEC туннеля поверх IP-туннеля)
p.s. пробовал менять IPIP на GREIP - те же грабли, пинги не ходят.
