@mcury opa

primeira coisa que vi estao identicos

Vi no dhcp de ambos correto o lugar?

@antonioremigio1 said in Reiniciar Tunel Especifico de IPSec:

@mcury Sim, utilizo o admin.

Vou testar em outro navegador.

Quando clico em "Desconectar" e depois em "Conectar" fica só "connecting" e não conecta.

Pode ser problema com a outra ponta, que reinicia tudo, mas lá não é pfSense, é Huawei.

Valeu

você configurou o túnel como responder only (phase 1) ?
caso sim, então ficaria mesmo em "connecting", aguardando a outra ponta iniciar a conexão.

caso queria se aprofundar mais, você pode acessar esse Huawei e fazer uma captura de pacote lá, vai conseguir identificar se o pacote na porta 500 ou 4500 UDP (NAT-T) está chegando lá para iniciar o túnel.

legal meu amigo, vou testar dessa forma

@anemacuore said in CONFIGURAÇÃO DNS DO PFSENSE:

@mcury Eu utilizo o DNS Forwarder, seria a mesma coisa?

Não tenho experiência com o DNS Forwarder, sempre usei o Unbound (DNS Resolver)..
Infelizmente, vou precisar deixar outra pessoa te ajudar nessa pois eu não saberia te responder.

@mcury ok... muito obrigado....

@stephenw10 nosso posso atualizar, porque tenho pacotes personalizados na 2.6

Olá! Voce está configurando o grupo de gateway no OPENVPN server? Se sim, quando o IP mudar, os clientes não vão conseguir reconectar (no arquivo *.ovpn tem o IP do servidor configurado, se mudar não encontra o novo, não reconecta), ao menos que utilize um DDNS que vai atualizar o IP atual e reestabelecer as conexões. Em minha experiência, quando utilizei grupo de gateway do lado do servidor OPENVPN e o link secundário assumia, até o serviço do OPENVPN parava de funcionar. Pelo que sei, o recomendado é deixar sempre um determinado link, do lado servidor, não grupos de gateway.

@fcostars said in Como Failover com duas conexões de vpn usando ipsec no pfsense:

só funciona de pfsense para pfsense!

Opa, o pfSense usa strongswam internamente, diversos fabricantes suportam VTI, pelo que vi ultimamente parace que apenas a Mikrotik ainda não suporta.

[23.09.1-RELEASE][root@pfsense.home.arpa]/root: pkg info strongswan strongswan-5.9.11_3 Name : strongswan Version : 5.9.11_3 Installed on : Wed Dec 6 19:10:13 2023 -03 Origin : security/strongswan Architecture : FreeBSD:14:amd64 Prefix : /usr/local Categories : security net-vpn Licenses : GPLv2 Maintainer : strongswan@nanoteq.com WWW : https://www.strongswan.org Comment : Open Source IKEv2 IPsec-based VPN solution

Portanto, seria possível fazer o VTI sim entre as duas pontas.
Essa seria a melhor opção, você poderia usar roteamento estático (que não teria failover) e você teria que alterar o gateway da rota manualmente caso quisesse chavear.
Você poderia usar policy route com gateway group com os gateways da VPN.
E você poderia usar roteamento dinâmico com OSPF instalando o FRR no pfsense e no Debian, mas eu nunca instalei isso no Debian, então não sei como seria trivial.

A outra forma seria você fechar apenas um túnel da sua rede para a AWS usando dyndns.
Nesse caso, caso o seu link da Vivo (supondo que é o primário) por exemplo caísse, o dyndns atualizaria e você fecharia a conexão novamente com a AWS usando esse novo link.

@heaccioly travei nessa parte, estou com o mesmo problema no cliente conectado, vi que ele nao ta recebendo endereço de gateway do meu pfsense, mas nao to conseguindo assimilar onde tenho que fazer esse lançamento