[survivor]

Доброго дня!

 

Есть одна компания (для простоты будем называть ее ZZZ), которая предоставляет различные услуги для копроративных клиентов, которые подключаются к ее VPN роутеру (он имеет один IP) по Site-to-Site IPSEC. Каждый клиент получает свой собственный preshared ключ.

У меня же - датацентр, где размещаются эти самые клиенты (вернее их серверы). Подключая их к ZZZ по IPSEC столкнулся с такой проблемой:

 

Если использовать один роутер для нескольких клиентов, получается, что между мной и ZZZ должно существовать сразу несколько ipsec туннелей, с одними и теми же peer адресами, но разными preshared ключами! Это как минимум невозможно из-за:

crypto isakmp key customer1key address 1.2.3.4
crypto isakmp key customer2key address 1.2.3.4
A pre-shared key for address mask 1.2.3.4 255.255.255.255 already exists!

 

Аналогичная проблема будет и у админов ZZZ, потому что для них мой peer будет одним и тем же для всех туннелей.

 

Логичным кажется назначение на внешний интерфейс роутера нескольких IP (как secondary), но как привязать ipsec туннель к конкретному адресу не нашел.

Есть какой-нибудь выход из этой ситуации? По производительности роутер легко потянет несколько абонентов, жалко выделять отдельную железку для каждого туннеля...

[casperrr]

Может вас спасет gre туннель поверх ipsec?

 

https://learningnetwork.cisco.com/docs/DOC-2457

...

 

interface Tunnel0

...

tunnel mode ipsec ipv4

 

Тунелей можно поднять сколько надо. Плюс иметь интерфейс, куда можно всякие полезности повесить, типа QoS или ACL удобнее чем просто криптокарта на интерфейсе.

[z.a.v.]

У меня как-то с клиентом глючили туннели в такой ситуации. Хотя может клиент что-то намудрил. Но вместе туннели не работали.