OA
Size: a a a
2020 July 15
OA
Добрый день! Согласно системным правилам АП должен подключаться к СД по любому интерфейсу
OA
Это вроде когда-то анонсировали. Но в доке я сейчас не нашел на раз
IK
спасибо
OA
Вопрос следующий (в продолжение темы с ВКС): СД работает на подключения только на интерфейсах с типом Внешний?
на 99% на любой интерфейс СД АП подключится
OA
внешние и внутренние интерфейсы отличаются набором системных правил. можете посмотреть сами. Если перевести АПКШ в мягкий режим, или написать свои правила и туннели VPN могут работать на внутренних интерфейсах
OA
С ЦУСом тоже так же. Системные правила позволяют подключаться АПКШ только на внешние интерфейсы
OA
сам кш может подключиться к ЦУСу с внутреннего интерфейса по умолчанию
OA
типы внешний и внутренний еще влияют на формирование пользовательских правил фильтрации МЭ для удобства
OA
Просто идея в том, чтобы временно один интерфейс внешний перевести в тип отличный от внешнего, выгрузить экспорт и вернуть обратно
и еще. Как в случае своей сети, так и в случае с межсетевым, КШ равноправны при установлении туннеля (клиент и сервер). Поэтому туннель установится, если у одного из кш в настройках доступный адрес другого (т.е. для старых версии при двух внешних в конфиг попадал адрес 0.0.0.0). Так вот и в этом случае туннель может заработать. все зависит от настроек партнера.
IK
тут фишка в вот в чем: есть КШ сети 3.9. У него есть два внешних интерфейса: через один идет дефолт на R1 через другой идет отдельная запись в таблице маршрутизации через R2
IK
за R2 есть операторский L3VPN
IK
в котором живет КШ версии 3.7
IK
у него, в свою очередь, есть 2 внешних интерфейса: 1 смотрит в инет, а второй в тот самый L3VPN
IK
в итоге ситуация получается такая: в сеть 3.9 из сети приходит экспорт в котором для КШ указан внешний Интернет адрес
IK
а сеть 3.7 из сети 3.9 приходит внешний адерес КШ который смотрит в R1
OA
в итоге ситуация получается такая: в сеть 3.9 из сети приходит экспорт в котором для КШ указан внешний Интернет адрес
туннель между ними нужен в l3vpn?
IK
R1 естественно про L3VPN ничего не знает
IK
Oleg Antonov
туннель между ними нужен в l3vpn?
так точно
OA
так точно
ната там нет?