У меня есть VPN на основе маршрута с моего сайта (Netscreen204) на сайт клиента (Fortinet). Им нужен второй резервный туннель на случай сбоя, и они тоже будут использовать Fortune.
Единственное, чего я не совсем понимаю, это как лучше всего настроить vpn-монитор. Могу ли я настроить интерфейс обратной связи, который может пинговать какой-либо пункт назначения в их домене? Должен ли этот loopback быть из диапазона IP-адресов, который я локально указал в proxy-id?
Я ответил на это. Монитор vpn должен быть настроен с использованием IP-адресов, которые находятся в обоих диапазонах адресов прокси-идентификатора. Итак, да, петля должна быть из диапазона IP-адресов, указанного в proxy-id.
Идея состоит в том, чтобы НЕ проверять туннельные интерфейсы. Вас интересует достижимость между сетями или «доменами шифрования».
Не забудьте также проверить "оптимизировать" и "изменить ключ". Для туннеля переключения при отказе просто убедитесь, что метрика и предпочтение больше, чем значение по умолчанию, или, по крайней мере, больше, чем основной маршрут.
Оптимизация означает, что если на линии есть трафик, он не будет пинговать.
Это способ сделать это, когда одна сторона - ScreenOS, а другая - другого производителя.