К моему знанию ASA не имеет способность автоматически потерпеть неудачу над тоннелями мест-к-места IPSec до резервный ISP установлен как статья Cisco, котор вы соединили. Cisco имеет вызванный протокол DMVPN (динамическим многопунктовым VPN) позволило бы эту работу, но то не поддержано на ASAs несчастливо.
Теперь для дистанционной конфигурации клиента VPN должно быть по возможности иметь что работа правильно когда вы терпели неудачу сверх к резервному соединению. Если то не работает после этого может вы пожалуйста вывесить ваши санированные config?
Как вы планируете выполнить failover DNS? Вы идете использовать обслуживание обнаружит что ваш главным образом ISP вниз и после этого только вручить вне подпорку IPs? Для прибывающего SMTP показатель MX с первичным и вторично может работать отлично, но для других обслуживаний, это может быть проблемно.
Одно разрешение может работать это
- Имейте ваш пункт регистраторшы к серверам DNS, котор вы administrate. Одно установлено на IP заданном ISP1, другом на ISP2.
- Имейте те IPs NATed на вашем брандмауэре, котор нужно пойти до 2 отдельно сервера DNS, эти хозяйничайте ваши показатели DNS интернета
- Установите ваши входы DNS на каждый сервера так, что они вручат вне IPs для специфически ISP, котор они отнесен к. Т.е. сервер DNS 1, NATed к адресу IP ISP1, рукам вне IPs для прибывающих обслуживаний которые размещаны ISP1. Сервер DNS 2 вручает вне номера IP ISP2.
- Сервер ISP2 DNS будет non-accessible от интернета если и до тех пор пока ISP1 не потерпеть неудачу и ASA перенаправляет трассу входного невыполнения обязательства, сервер DNS 2 после этого вручит вне IPs, но только для IPs, котор нужно направить через ISP2, и таким образом через резервное соединение.
Также я мог указать вне что XroadsNetworks имеет приспособление можно установить за вашим ASA и делает эту установку много более легким. :)