ruting 2isp

[chunkpunk]

Witam
Pytanie odnosnie 2isp a mianowicie:

2 providery na 2 interface oboje w strefie untrust ruting na 0.0.0.0 dla ISP1 i ISP2 oboje preference 20, (jak dam ktorys wyzej to nei moge pingowac interface z zewnatrza dziwne ) ale jak sa 2 defoultowe rutingi to o dziwo dziala) do obu ternetow sa przypiete tunele w trybie pbr i dzialaja jako failover. i teraz co zrobic aby wymusic ruch z calym zakresem portow na 2 ISP.

gdy zrobie np. source ruting z gatewayem na 2 isp wtedy przestaje mi widziec vpn a widzi internet (to logiczne) Gdy robie na 2 ISP np. DIP i wklepuje to w policy wtedy jest tak samo do chwili przewalenia source rutingu na 2 isp. Gdy robie PBR na ALC dziala ale tak samo jak bym wklepal source ruting i nei widze np http na vpnie . Wychodzi na to ze musze wymusic ruting na 2 ISP z wyjatkiem sieci ktora jest untrus na vpn . Jakies pomysly ?

[chunkpunk]

To moze inaczej
mam tak:
eth1 - isp1
eth2 - isp2
obydwa w untrust zone

jesli ruting jest zrobiony tak :
set route 0.0.0.0/0 interface ethernet0/2 gateway ISP1
set route 0.0.0.0/0 interface ethernet0/3 gateway ISP2 10
nie moge zapingowac eth2 ze swiata

jak zmienie na :
set route 0.0.0.0/0 interface ethernet0/2 gateway ISP1
set route 0.0.0.0/0 interface ethernet0/3 gateway ISP2
ping ze swiata do isp2 dziala
ale ruting dziala dziwacznie raz na isp raz na isp1

czy mozna cow pokombinowac ale bez dopisywania nastepnej zony ?

[dzogurt]

moze PBR? ale jak widze to komendy z SSG, wiec nie wiem czy Juniper FW potrafi PBR.

[chunkpunk]

jednak 2 zony 2 vroutery inaczej sie nie da tak pisze juniper. i tu problem z rutowaniem pbvpn jakos mi ruch leci ale z durgiej strony nie chce wracac