У нашей компании есть серверы в двух местах - в главном офисе и в колокации. Мы готовимся переместить один из наших серверов, АТС, из нашего главного офиса в наше колокационное место для лучшего обслуживания, но мы столкнулись с несколькими проблемами.
У каждого сайта есть маршрутизатор Juniper SSG5, а их локальные подсети связаны через VPN типа «сеть-сеть» и соответствующие политики туннелей. Схема сети выглядит примерно так:
Сайт A - Маршрутизатор A - Интернет - Маршрутизатор B - Сайт B
10.1.0.0/24 10.1.0.1, 69.x.x.x 71.x.x.x, 10.0.0.1 10.0.0.0/24
Поскольку сайт A и сайт B находятся в разных подсетях, IP-адрес УАТС B придется изменить.
Все телефоны на сайте B, где сейчас находится УАТС, зарегистрированы в УАТС B. Есть и другие сайты, которые подключены к обоим местоположениям через свои собственные VPN типа «сеть-сеть». Эти телефоны не являются проблемой, потому что мы можем подключиться к ним напрямую или удаленно и настроить их для нового IP-адреса.
У нас также есть телефоны в местах, которые не подключены к нашим офисам через Site-to-Site VPN. Все эти телефоны подключаются к маршрутизатору B. Маршрутизатор B имеет VIP-запись на своем интерфейсе WAN, маршрутизирующую трафик SIP (например, порт 5060) на УАТС B. В настоящее время у нас нет прямого доступа к некоторым из этих телефонов, и может не работать какое-то время (люди, которые их используют, очень и очень не разбираются в технологиях).
Даже если мы настроим VIP на маршрутизаторе A, чтобы он указывал на новый IP-адрес, сами телефоны все еще указывают на маршрутизатор B. Вместо того, чтобы терять обслуживание этих телефонов, мы хотели бы иметь возможность перенаправлять этот SIP-трафик на порт 5060. через VPN-соединение. Фактически, вместо маршрутизатора B, перенаправляющего трафик порта 5060 на 10.0.0.x, мы хотим вместо этого, чтобы маршрутизатор B перенаправлял трафик порта 5060 на 10.1.0.y. Вот тут и возникает наша большая проблема.
У нас уже есть еще одна АТС на сайте A (PBX A), и мы используем ее для тестирования. Я установил второй VIP на маршрутизаторе B для перенаправления трафика порта 5062 на УАТС A, но здесь мы столкнулись с проблемой. Маршрутизатор B не может проверить связь с интерфейсом LAN маршрутизатора A (10.1.0.1). Любое устройство за маршрутизатором B может проверять связь с 10.1.0.1, и любое устройство за маршрутизатором B может проверять связь с любым устройством за маршрутизатором A, но маршрутизатор B не может проверять связь с 10.1.0.1 и не может проверять связь с каким-либо устройством за ним, включая УАТС A, где он пытается пересылать этот трафик.
Выполнение traceroute на маршрутизаторе B до 10.1.0.1 показывает, что он игнорирует собственное VPN-соединение и вместо этого пытается подключиться к 10.1.0.1 через свой WAN-интерфейс 71.x.x.x, что происходит в точности так, как вы могли бы представить.
Что мы пытаемся сделать, так это связать трафик ITS OWN туннеля Juniper с подсетью, подключенной через VPN через VPN, а не через интерфейс WAN, как это делается для всего трафика за ним. У нас установлены политики, которые туннелируют трафик с 10.0.0.0/24 на 10.1.0.0/24 через "Site A VPN", и я недавно создал один для VIP (eth0 / 0) на 10.1.0.0/24 через "Site A VPN ", но по какой-то причине ни один из них, похоже, не включает трафик, маршрутизируемый от самого Juniper.
Ниже приведен результат трассировки:
Send ICMP echos to 10.1.0.1, timeout is 2 seconds, maximum hops are 32,
1 5ms 5ms 5ms 71.x.x.x
2 7ms 7ms 10ms 100.x.x.x
3 10ms 10ms 12ms 130.x.x.x
4 * * *
5 19ms 19ms 19ms 140.x.x.x
6 * * *
7 * * *
(etc)
17 * * *
18 * * Trace aborted
Мы будем очень признательны за любые советы о том, как решить эту проблему. Спасибо!