Till min kunskap ASAEN har inte kapaciteten automatiskt att missa över IPSec placera-till-placerar tunneler till och med en överflödig ISP som är den konfigurerade något liknande den Cisco artikeln som, du anknöt. Cisco har ett protokoll som kallas DMVPN (dynamisk VPN med många punkter) som skulle låter detta arbete, men det inte stöttas på ASAsen tyvärr.
Nu för avlägsen VPN-beställarekonfiguration det bör vara möjligheten som har det arbete korrekt, när du har missat över till reserven anknyter. Om det inte är funktionsdugligt därefter kan dig behaga postar dina sanitized config?
Hur du planerar för att utföra DNS-failover? Du går att använda ett tjänste- som ska avkänner att din primära ISP är besegrar och därefter räcker endast ut reserven IPs? För inbound SMTP ett MX Record med ett primärt och sekundärt kan fungera fint, men för annat servar, detta kan vara problematiskt.
En lösning, som kan fungera, är denna
- Ha din regitrator att peka till DNS-serveror som du förvaltar. Man konfigureras på en IP som tilldelas av ISP1, annan på ISP2.
- Ha de IPs NATed på din firewall som går till 2 separata DNS-serveror, dessa varar värd dina internetDNS-rekord
- Konfigurera dina DNS-tillträden på varje server, så att de räcker ut IPsen för närmare detaljISPEN som de förbinds till. Dvs. DNS-server 1, NATed till IPet address ISP1, räcker ut IPs för inbound servar som tilldelas av ISP1. Dns-server 2 räcker IP ISP2 numrerar ut.
- Serveren för ISP2 DNS ska är non-accessible från internet, om inte och till kuggningar ISP1 och ASAEN omdirigerar rutten för standardnyckeln, DNS-server 2 räcker därefter ut IPs, men endast för att IPsen sänds till och med ISP2 och thus till och med den reserv- anslutningen.
Också jag kan pekar ut att XroadsNetworks har en apparat kan konfigureras bak din ASA och gör denna att ställa in ett lättare lott. :)