Multi-wan con vpn ipsec

bartolo

Hola,

hace unos días instalé pfsense para probarlo y hasta ahora todo bien.

Ahora quería montar dos túneles IPSec entre dos pfsense usando diferentes conexiones WAN en cada máquina.

|¯¯¯¯¯¯|            VPN1              |¯¯¯¯¯¯|
                      |      2 |- WAN-a <–> WAN-b  -|x        |
PCa -> LAN-a  - | 1 A    |                                |    B  z|- LAN-b <-PCb
                      |        3|- OPT-a <--> OPT-b --  |y        |
                      ||        VPN2                  ||

VPN1-> nodo A: LAN-a / LAN-b con gw WAN-b y nodo B: LAN-b / LAN-a con gw WAN-a                           
VPN2-> nodo A: LAN-a / LAN-b con gw OPT-b  y nodo B: LAN-b / LAN-a con gw OPT-a

En definitiva serían dos túneles que interconectarían las mismas redes local y remota a través de dos conexiones WAN…

¿Es posible crear esos túneles? Lo he intentado y parece que no. No es posible crear dos túneles que conectan las mismas subredes. ¿Es eso así de verdad o me equivoco?

Lo que quiero en definiva es que un equipo "PCa" en la "LAN-a" del pfsense "A" se comunique (IPSec) con un equipo "PCb" en la "Lan-B" del pfsense "B". Con una única VPN todo bien. Pero ahora me gustaría saber si voy a poder usar una segunda conexión WAN para el caso en el que se caiga la primera...

¿Hay alguna forma de hacer esto? Si los dos tuneles IPSec no se pueden establecer, ¿con alguna regla de NAT o con IPs virtuales sería posible lograrlo?

Muchas gracias por vuestra ayuda.

Un saludo

bellera

¡Hola!

No sé si se puede hacer. Si quieres redundancia, mira las posibilidades de CARP:

http://doc.pfsense.org/index.php/Tutorials

Saludos,

Josep Pujadas

bartolo

Hola Josep, muchas gracias por contestar.

Sí, ya había pensado en lo del carp, pero todo lo que veo es para poner en cada extremo dos máquinas físicas en alta disponibilidad…

El tema es, independientemente del multi-wan, ¿no se puede hacer funcionar dos VPNs que interconecten las dos mismas LAN local y remota, cambiando sólo la dirección del gw remoto? agradecería que alguien dijera que efectivamente no se puede...

Yo puedo crear las dos VPNs simplenente entre las IPs de las interfaces WAN en los dos extremos (en el gráfico sería crear dos túneles entre los puntos "2" y "x", y entre "3" y "y"... Pero como esas VPNs no "publican" las redes locales que tienen detrás, el tráfico que quiero enviar a la red remota no pasa a través del túnel... ¿Habría alguna forma de forzar a que el tráfico pase a través de un túnel IPSec que está establecido entre las IPs de los interfaces WAN?...

He leído unos cuantos posts, y todos parecen indicar que una configuración como lo que yo estaba buscando no se puede hacer, pero ninguno lo descarta claramente... Pero, es que si no se pueden montar varias vpns en cada extremo, el tema del multiwan queda un poco sin sentido, ¿no?

Muchas gracias,

Un saludo

bellera

¡Hola!

el tema del multiwan queda un poco sin sentido, ¿no?

No sé que más decirte. Son cosas que hay que probar y/o entrar en las entrañas del cortafuegos para ver cómo está montado y si hay alguna incompatibilidad o no.

Saludos,

Josep Pujadas