2 WAN и OpenVPN головоломка [РЕШЕНА]
-
Есть pfsense с двумя wan и с поднятым openvpn сервером.
Оба ван имеют выделеные айпи в Интернете.
Как обеспечить доступность сервера на обоих айпи?Исходящие пакеты всегда прут в умолчательный гейт. Т.е. на wan1 все работает, если пытаться присоединися через wan2, то ответные пакеты уходят через wan1. OpenVPN ведь ничего про роутинг не знает и просто отвечает на айпи.
Исходящим пакетам можно напрямую указать гейт, но выделить правилами какие пакеты в какой wan пихать не возможно.
Мысли вот сюда повернулись:
Если б сервер был на отдельно стоящей машине в LAN, то можно было бы на wan открыть какой-нить порт (например 1111) и исходящим натом заменить порт на openvp и айпи на айпи LAN интерфейса, тогда обратные пакеты можно было бы фильтровать на wan1 по порту (1111) явно указывать им гейт в wan2.Аналогично можно поступить через loop интерфейс. Но на пфсенсе нет возможности выбирать loop в правилах.
Может есть еще какие-то решения? Запутался уже совсем…
-
Что-то я не понял. OpenVPN поддерживает multiwan сто процентов.
Уверен, что на втором WAN default gateway сконфигурирован? -
Да я чего-то сам запутался. Шлюз на втором ване прописан точно.
Вроде все должно быть гораздо проще. Должно сработать reply-to правило. Но че-то лыжи не едут.pass in log quick on rum0 reply-to (rum0 192.168.1.1) inet all flags S/SA keep state label "USER_RULE: USBWireless local pass"
rum0 – wan2, 192.168.1.1 — шлюз в wan2
-
и как tcpdump выглядит?
-
В состояниях две записи:
udp 192.168.1.55:1194 <- YYY.YYY.YYY.YYY:43284 NO_TRAFFIC:SINGLE
udp XXX.XXX.XXX.XXX:1194 -> YYY.YYY.YYY.YYY:43284 SINGLE:NO_TRAFFICгде XXX.XXX.XXX.XXX внешний айпи wan1, YYY.YYY.YYY.YYY — адрес клиента впн.
-
и как tcpdump выглядит?
Ну в общем так и выглядит. Если снимать на wan2, то видно входящие пакеты, а если на wan1, то исходящие. Или надо еще что-то в них посмотреть?
-
tcp не пробовал?
-
tcp не пробовал?
Ну по идейным соображениям должно быть нафиг пофиг. Но по религиозным — попробую сегодня вечером.
-
Религия видимо рулит:
http://www.opennet.ru/openforum/vsluhforumID1/83112.html
Будем пробовать. -
Будем пробовать.
ААА!!!
TCP. С первого раза.
ТРИ! Три долбанных часа и куча безумных мыслей в голове!Eugene, спасибо большое. В эту сторону я еще не скоро б начал рыть.
-
спасибо то спасибом да вот интересно почему UDP не подчиняется policy routing… -(((
-
Ну я не вникал, но сложилось впечатление, что это баг. Причем жалуются на 7.0, 7.1 и 7.2.
Наверное, в 2.0 должно быть все хорошо. -
Если есть желание экспериментировать, то можно попробовать создать правило чётко для UDP ручками (что-бы не было всяких SYN в правиле).
-
Желания нет, ибо роутер уже в работе.
Да и сначала имеет смысл потестить восьмерку. -
а сервер OpenVPN у вас один ?
у меня тоже 2 интернета приходят, но они на два разных OpenVPN сервера ложатся. В настройках можно указать серверу OPVN какой IPшник слушать.а по TCP OVPN нормально работает ?
-
-
спасибо то спасибом да вот интересно почему UDP не подчиняется policy routing… -(((
Похоже виноват openVPN. Поддержка multi-homing по UDP появилась только что в версии 2.1.1.
-