Aan mijn kennis heeft ASA niet de capaciteit automatisch om over plaats-aan-plaats IPSec tunnels door overtollige ISP te ontbreken die als het artikel wordt gevormd van Cisco u verbond. Cisco heeft een protocol genoemd DMVPN (Dynamische VPN met meerdere balies) die dit werk zou toestaan, maar dat niet op ASAs jammer genoeg wordt gesteund.
Nu voor verre VPN cliëntconfiguratie zou het mogelijk moeten zijn om dat werk correct te hebben wanneer u over aan de reserveverbinding hebt ontbroken. Als dat niet dan werkt kunt u gezuiverd uw config alstublieft posten?
Hoe bent u van plan om DNS failover te verwezenlijken? Bent u gaand gebruik de dienst die zal ontdekken dat uw primaire ISP neer en dan slechts reserveIPs wordt uitgedeeld? Voor binnenkomende SMTP kan een MX verslag met primair en secundair boete werken, maar voor andere diensten, kan dit problematisch zijn.
Één oplossing die kan werken is dit
- Hebben uw archivarispunt aan DNS servers u beheert. wordt op IP gevormd door ISP1, andere die op ISP2 wordt toegewezen.
- Hebben die IPs NATed op uw firewall om naar 2 afzonderlijke DNS servers, deze te gaan gastheer uw Internet DNS verslagen
- Vorm uw DNS ingangen op elke server zodat zij IPs voor specifieke ISP uitdelen zij met verwant zijn. D.w.z. DNS deelt server 1, NATed aan ISP1 IP adres, IPs voor de binnenkomende diensten uit die door ISP1 worden toegewezen. DNS server 2 deelt ISP2 IP aantallen uit.
- De ISP2 DNS server zal van Internet tenzij en tot ISP1 ontbreekt en ASA de standaardgatewayroute opnieuw richt niettoegankelijk zijn, DNS deelt server 2 dan IPs, maar slechts voor IPs dat door ISP2 moet worden verpletterd, en zo door de reserveverbinding uit.
Ook zou ik kunnen erop wijzen dat XroadsNetworks een apparaat kan achter uw ASA worden gevormd en gemakkelijker maakt deze opstelling een heeft. :)
