Olá! Voce está configurando o grupo de gateway no OPENVPN server? Se sim, quando o IP mudar, os clientes não vão conseguir reconectar (no arquivo *.ovpn tem o IP do servidor configurado, se mudar não encontra o novo, não reconecta), ao menos que utilize um DDNS que vai atualizar o IP atual e reestabelecer as conexões. Em minha experiência, quando utilizei grupo de gateway do lado do servidor OPENVPN e o link secundário assumia, até o serviço do OPENVPN parava de funcionar. Pelo que sei, o recomendado é deixar sempre um determinado link, do lado servidor, não grupos de gateway.

@fcostars said in Como Failover com duas conexões de vpn usando ipsec no pfsense:

só funciona de pfsense para pfsense!

Opa, o pfSense usa strongswam internamente, diversos fabricantes suportam VTI, pelo que vi ultimamente parace que apenas a Mikrotik ainda não suporta.

[23.09.1-RELEASE][root@pfsense.home.arpa]/root: pkg info strongswan strongswan-5.9.11_3 Name : strongswan Version : 5.9.11_3 Installed on : Wed Dec 6 19:10:13 2023 -03 Origin : security/strongswan Architecture : FreeBSD:14:amd64 Prefix : /usr/local Categories : security net-vpn Licenses : GPLv2 Maintainer : strongswan@nanoteq.com WWW : https://www.strongswan.org Comment : Open Source IKEv2 IPsec-based VPN solution

Portanto, seria possível fazer o VTI sim entre as duas pontas.
Essa seria a melhor opção, você poderia usar roteamento estático (que não teria failover) e você teria que alterar o gateway da rota manualmente caso quisesse chavear.
Você poderia usar policy route com gateway group com os gateways da VPN.
E você poderia usar roteamento dinâmico com OSPF instalando o FRR no pfsense e no Debian, mas eu nunca instalei isso no Debian, então não sei como seria trivial.

A outra forma seria você fechar apenas um túnel da sua rede para a AWS usando dyndns.
Nesse caso, caso o seu link da Vivo (supondo que é o primário) por exemplo caísse, o dyndns atualizaria e você fecharia a conexão novamente com a AWS usando esse novo link.

@heaccioly travei nessa parte, estou com o mesmo problema no cliente conectado, vi que ele nao ta recebendo endereço de gateway do meu pfsense, mas nao to conseguindo assimilar onde tenho que fazer esse lançamento

Erro de certificados, tive esse mesmo problema esses dias.

Dá uma olhada nesse link, resolvi aqui, só não to lembrando o comando, kkk

https://forum.netgate.com/topic/158091/pfsense-available-packages-empty

edit: achei

e0e05acb-15da-4ee8-b86b-146acd6119fc-image.png

https://redmine.pfsense.org/issues/15083

@Bruno-1 Olá, da uma olhada no log do Firewall para começar. Dai vc vai ver oque esta bloqueando.

@araujo0608 Isso, modem em bridge, PPPoE no PFsense.

Resolvido!
Agradeço.

@tbitello o que você pode fazer é abrir um ticket relatando e documentando o problema e até capturando a tela apontado que o botão de adicionar novas interfaces não aparece para serem adicionadas.

O Link para você abrir o chamado se encontra no endereço redmine - ticket

@welsonbarbosa

Obrigado, sua solução é a melhor e a mais fácil: foi só configurar o idioma de exibição para o português e tudo funcionou.

4fbe0f3b-5d9c-4030-97e4-7fd1d3bc9574-image.png