vtuchk писал(а):
Было решено использовать основного провайдера (Dialer 1) только для доступа в интернет, а резервного (Dialer 2), помимо резерва на случай отключения основного, для VPN соединений.
Для этого нужно использовать VRF.
Поизучайте вот эту тему и ссылки в ней:
http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11138Вот хороший пример, только iVRF можно не использовать и оставить внутренние сети в global (GRT):
VRF-aware IPSec cheat sheet
https://community.cisco.com/t5/security ... -p/3109449Используйте VTI везде, где это возможно.
За исключением случаев требования совместимости с древним железом.
Резервирование с VRF - это отдельная тема.
Вот тут уваж.
_2e_ делился примером и соображениями:
http://www.anticisco.ru/forum/viewtopic.php?f=2&t=11202Там все не совсем тривиально.
А чем сложнее схема, тем больше вероятность где-то налепиться.
А у вас с этим и так, как я понимаю, проблем нет.
Так что можно определиться с приоритетами - что вам важнее,
работа внутренней сети, или то, что секретарша раз в год останется без ВКонтактика?
Плюс - потянет ли второй канал ISP2 суммарный трафик (офис в Инет + VPN)?
Но все зависит от бизнес процессов, конечно.
vtuchk писал(а):
Тестовый StS VPN поднялся (на туннельном интерфейсе Tunnel178).
Но трафик в vpn-туннель не идет, хотя указан маршрут до удаленной сети через туннельный интерефейс.
Проверьте, что у вас правильно настроен Policy NAT,
чтобы не NAT-ился внутренний трафик из локалки в филиалы через VTI.
Во второй теме есть пример.
vtuchk писал(а):
Планировалось использовать ... L2TP VPN для удаленных пользователей на резервном провайдере.
L2TP - это древняя хрень. Посмотрите на что-то более современное, на тот же IKEv2, AnyConnect или SSTP.