Приветствую. Есть задача организации IPSec туннеля между Juniper SRX240 и ASA5520.

Juniper имеет 2 линка в интернет (внешние адреса). У ASA выход в интернет один, но надежный. Необходимо сделать чтобы у SRX240 через 1 линк всегда был поднят туннель и в случае падения этого линка - туннель поднимался через запасной канал. Со стороны ASA оба этих пира (Juniper) должны быть равноценными (т.е. одновременно работать должно только по 1 пиру). Задача осложняется еще и тем, что в IPSec нужно пихать несколько разных сетей.

Со стороны ASA вроде как понятно (если не прав, то поправьте):

access-list IPSEC-tunnel permit ip 172.16.0.0 255.255.0.0 10.0.0.0 255.0.0.0
access-list IPSEC-tunnel permit ip 192.168.0.0 255.255.0.0 10.0.0.0 255.0.0.0
crypto ipsec transform-set 3des-sha esp-3des esp-sha-hmac
crypto map RTP 1 match address IPSEC-tunnel
crypto map RTP 1 set peer X.X.X.X Y.Y.Y.Y
crypto map RTP 1 set transform-set 3des-sha des-sha
crypto map RTP interface outside
crypto isakmp identity address
crypto isakmp enable outside
tunnel-group X.X.X.X type ipsec-l2l
tunnel-group X.X.X.X ipsec-attributes
pre-shared-key *****
tunnel-group Y.Y.Y.Y type ipsec-l2l
tunnel-group Y.Y.Y.Y ipsec-attributes
pre-shared-key *****

А вот со стороны SRX понятно не все.

interfaces {
    ge-0/0/0 {
        description ISP1;
        unit 0 {
            family inet {
                address X.X.X.X/30;
            }
        }
    }
    ge-0/0/1 {
        description ISP2;
        unit 0 {
            family inet {
                address Y.Y.Y.Y/27;
            }
        }
    }
   st0 {
        unit 0 {
            family inet;
        }
        unit 1 {
            family inet;
        }
    }
}
routing-options {
    static {
        route 0.0.0.0/0 {
            next-hop I.S.P.1;
            qualified-next-hop I.S.P.2 {
                preference 100;
            }
            preference 50;
        }
        Сюда вроде как тоже вписывать маршруты для IPSec сетей и заворачивать их в st0.0 и st0.1?
    }
}
security {
    ike {
        proposal IKE_3DES_SHA {
        ............
        }
        policy IKE_POLICY1 {
        ............
        }
        gateway PEER-ASA5520-1 {
            ike-policy IKE_POLICY1;
            address A.S.A.PEER;
            external-interface ge-0/0/0.0;
        }
        gateway PEER-ASA5520-2 {
            ike-policy IKE_POLICY1;
            address A.S.A.PEER;
            external-interface ge-0/0/1.0;
        }
    }
    ipsec {
        proposal IPSEC_3DES-SHA {
        ........        
        }
        policy IPSEC_POLICY1 {
            proposals IPSEC_3DES-SHA;
        }
        vpn ASA-VPN-1 {
            bind-interface st0.0;
            ike {
                gateway IPEER-ASA5520-1;
                proxy-identity {
                    ЭМС, вот тут проблема. Как указать несколько сетей
                service any;
                }
                ipsec-policy IPSEC_POLICY1;
            }
            establish-tunnels immediately;
        }
        vpn ASA-VPN-SPB-2 {
            bind-interface st0.1;
            ike {
                gateway ASA-PEER-ASA5520-2;
                proxy-identity {
                    ЭМС, вот тут проблема. Как указать несколько сетей
                }
                ipsec-policy IPSEC_POLICY1;
            }
            establish-tunnels immediately;
        }
    }

Помогите с SRX пожалуйста.