Объединение двух офисов, резервирование l
-
Здравствуйте!
Есть необходимость объединить два офиса.
В главном офисе поднять резервирование каналов связи.
Дать доступ мобильным пользователям к ресурсам в сети главного офиса.Вот схема :
В данный момент есть 2шт pfSense.
Настроил все что мне нужно кроме VPN и резервирования каналов.
VPN-OpenVPN
Вопросы:
С чего правильнее начать?
Как настроить резервирование каналов в главном офисе? (автомат)
Как настроить VPN между офисами с учетом резервирования каналов связи?
Как настроить VPN для мобильных пользователей с учетом резервирования каналов связи?Заранее благодарен.
-
Здравствуйте!
Есть необходимость объединить два офиса.
В главном офисе поднять резервирование каналов связи.
Дать доступ мобильным пользователям к ресурсам в сети главного офиса.Вот схема :
В данный момент есть 2шт pfSense.
Настроил все что мне нужно кроме VPN и резервирования каналов.
VPN-OpenVPN
Вопросы:
С чего правильнее начать?
Как настроить резервирование каналов в главном офисе? (автомат)
Как настроить VPN между офисами с учетом резервирования каналов связи?
Как настроить VPN для мобильных пользователей с учетом резервирования каналов связи?Заранее благодарен.
На тему ovpn в конфиге необходимо добавить опцию random или как то так она называется…
На тему l2tp смотрите в сторону dns, вешаете 2 ip на одно имя...а на тему отказоустойчивсти на форуме был ман.
-
Авторезервирование каналов настроил так, как описано тут
-
Теперь встает вопрос, как лучше настроить openvpn между двумя гейтами на pfsense с учетом резервирования каналов:
с какой стороны поднимать сервер, а с какой клиент? -
Теперь встает вопрос, как лучше настроить openvpn между двумя гейтами на pfsense с учетом резервирования каналов:
с какой стороны поднимать сервер, а с какой клиент?Хе…
Тут вопрос еще в том, как вы заставите openvpn ходить на разные IP?
С почтовым сервером, все решается MX записями. А вот как тут быть? -
http://iboxjo.h1.ru/books/pfsense/ebook/pfSense_CH15.pdf
15.7.1.1. Сервер OpenVPN использующий TCP
Поскольку, TCP, как правило, не является предпочтительным протоколом для
OpenVPN, о чем мы уже говорили в данной главе, использование TCP упрощает
настройку OpenVPN для multi-WAN. OpenVPN сервер использующий TCP будет
работать на всех WAN, для которых правила брандмауэра позволяют трафик
OpenVPN сервера. Вам потребуется правило для каждого WAN интерфейса.
15.7.1.2. Сервер OpenVPN использующий UDP
Сервер OpenVPN использующий UDP так же способен работать с multi-WAN, но
с некоторыми оговорками, которые не применимы к TCP, поскольку multi-WAN
использует функции маршрутизации PF. Каждый WAN должен иметь свой сервер
OpenVPN. Вы можете использовать одни и те же сертификаты для всех
серверов. Изменяются только две части конфигурации OpenVPN. -
http://iboxjo.h1.ru/books/pfsense/ebook/pfSense_CH15.pdf
Угу. А как в клиенту openvpn объяснить, что WAN1 сервера упал и теперь надо делать запрос на WAN2 сервера?
-
Теперь встает вопрос, как лучше настроить openvpn между двумя гейтами на pfsense с учетом резервирования каналов:
с какой стороны поднимать сервер, а с какой клиент?Хе…
Тут вопрос еще в том, как вы заставите openvpn ходить на разные IP?
С почтовым сервером, все решается MX записями. А вот как тут быть?Эта тема мне тоже интересна, и мне кажется, вопрос в том, как OpenVPN резолвит записи с DNS - по одному или списком ?
Ну то есть, если я сделал две A-записи на условный myvpn.mydomain, что из этого получится ? Ничего путного ?
-
Ну то есть, если я сделал две A-записи на условный myvpn.mydomain, что из этого получится ?
Первую запись отрезолвит.
Вот, гугль принес
Можно в конфигурации клиента указать несколько адресов сервера. Клиент должен подключаться последовательно…remote server-address-1 1194
remote server-address-2 1194 -
Ну то есть, если я сделал две A-записи на условный myvpn.mydomain, что из этого получится ?
Первую запись отрезолвит.
Вот, гугль принес
Можно в конфигурации клиента указать несколько адресов сервера. Клиент должен подключаться последовательно…remote server-address-1 1194
remote server-address-2 1194интересует еще и обратный автоматический переход на основной VPN. как он в таком случае отработает? и вообще отработает ли?
-
Достаточно создать один файл конфигурации openvpn на клиенте, и в нём прописать секции для каждого IP-адреса сервера. Также в этих секциях можно специфические для каждого IP-адреса настройки, но это не для данного случая. При наличии в настройках клиента опций «ping-restart m» или «keepalive n m», начнётся попытка соединения со следующим сервером через m секунд, если предыдущее подключение было нерабочим.
Т.е. в файле настроек неизменные части сохранятся, добавятся секции :cat /etc/openvpn/ABC.conf
client
proto udp
dev tap2
<connection>remote AA.AA.AA.AA:1194</connection>
<connection>remote BB.BB.BB.BB:1194</connection>
nobind
persist-key
keepalive 10 120
cipher BF-CBC
comp-lzo
verb 0
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client.crt
key /etc/openvpn/client.key -
Настроил туннель по этому ману c youtube
Может кому пригодится. -
Ну то есть, если я сделал две A-записи на условный myvpn.mydomain, что из этого получится ?
Первую запись отрезолвит.
Вот, гугль принес
Можно в конфигурации клиента указать несколько адресов сервера. Клиент должен подключаться последовательно…remote server-address-1 1194
remote server-address-2 1194А где это можно прописать?
Через WebGui ? -
Простите за предыдущий пост :-[
До конца не разобрался просто….Сделал:
Со стороны сервера multi WAN.
WAN - Основной
OPT1 -Резервный
На каждом из интерфейсе поднял свой OpenVPN сервер. Firewall настроил.У каждого свой порт и у каждого своя Tunnel Network.
[i]Когда ставишь одинаковую Tunnel Network (основной или резерв), то один из OpenVPN серверов переходит в статус STOP.
Со стороны клиента в поле Advanced configuration добавил строчку:
remote 192.168.10.251 1195 (ip резервного канала и порт)Тестирование:
Сервер:
Основной канал "упал", основной VPN канал "упал".
Поднялся резерв канал, сервер VPN на резерве готовКлиент:
Понял что основной VPN канал "упал".
Пытается подсоединиться на резерв. Подсоединяется (видно из Status:OpenVPN на сервере)
В логах со стороны клиента появляется запись:
openvpn[10238]: WARNING: 'ifconfig' is used inconsistently, local='ifconfig 10.0.8.2 10.0.8.1', remote='ifconfig 10.0.9.2 10.0.9.1'Пингов нет, тунель "лежит" :(
Как быть?_Весь лог со стороны клиента(172.16.0.254 - Клиент, 192.168.0.253 - Основной сервера, 192.168.10.251 - Резерв сервера):
Sep 19 14:52:15 openvpn[45219]: event_wait : Interrupted system call (code=4)
Sep 19 14:52:15 openvpn[45219]: /usr/local/sbin/ovpn-linkdown ovpnc1 1500 1560 10.0.8.2 10.0.8.1 init
Sep 19 14:52:15 openvpn[45219]: SIGTERM[hard,] received, process exiting
Sep 19 14:52:16 openvpn[9341]: OpenVPN 2.2.0 i386-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 11 2011
Sep 19 14:52:16 openvpn[9341]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Sep 19 14:52:16 openvpn[9341]: TUN/TAP device /dev/tun1 opened
Sep 19 14:52:16 openvpn[9341]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sep 19 14:52:16 openvpn[9341]: /sbin/ifconfig ovpnc1 10.0.8.2 10.0.8.1 mtu 1500 netmask 255.255.255.255 up
Sep 19 14:52:16 openvpn[9341]: /usr/local/sbin/ovpn-linkup ovpnc1 1500 1560 10.0.8.2 10.0.8.1 init
Sep 19 14:52:16 openvpn[10238]: UDPv4 link local (bound): [AF_INET]172.16.0.254
Sep 19 14:52:16 openvpn[10238]: UDPv4 link remote: [AF_INET]192.168.0.253:1194
Sep 19 14:52:21 openvpn[10238]: Peer Connection Initiated with [AF_INET]192.168.0.253:1194
Sep 19 14:52:22 openvpn[10238]: Initialization Sequence Completed
Sep 19 15:02:27 openvpn[10238]: Inactivity timeout (–ping-restart), restarting
Sep 19 15:02:27 openvpn[10238]: SIGUSR1[soft,ping-restart] received, process restarting
Sep 19 15:02:29 openvpn[10238]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Sep 19 15:02:29 openvpn[10238]: Re-using pre-shared static key
Sep 19 15:02:29 openvpn[10238]: Preserving previous TUN/TAP instance: ovpnc1
Sep 19 15:02:29 openvpn[10238]: UDPv4 link local (bound): [AF_INET]172.16.0.254
Sep 19 15:02:29 openvpn[10238]: UDPv4 link remote: [AF_INET]192.168.0.253:1194
Sep 19 15:03:29 openvpn[10238]: Inactivity timeout (–ping-restart), restarting
Sep 19 15:03:29 openvpn[10238]: SIGUSR1[soft,ping-restart] received, process restarting
Sep 19 15:03:31 openvpn[10238]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Sep 19 15:03:31 openvpn[10238]: Re-using pre-shared static key
Sep 19 15:03:31 openvpn[10238]: Preserving previous TUN/TAP instance: ovpnc1
Sep 19 15:03:31 openvpn[10238]: UDPv4 link local (bound): [AF_INET]172.16.0.254
Sep 19 15:03:31 openvpn[10238]: UDPv4 link remote: [AF_INET]192.168.10.251:1195
Sep 19 15:03:39 openvpn[10238]: Peer Connection Initiated with [AF_INET]192.168.10.251:1195
Sep 19 15:03:40 openvpn[10238]: Initialization Sequence Completed
Sep 19 15:03:41 openvpn[10238]: WARNING: 'ifconfig' is used inconsistently, local='ifconfig 10.0.8.2 10.0.8.1', remote='ifconfig 10.0.9.2 10.0.9.1'
Sep 19 15:06:31 openvpn[10238]: Inactivity timeout (–ping-restart), restarting
Sep 19 15:06:31 openvpn[10238]: SIGUSR1[soft,ping-restart] received, process restarting
Sep 19 15:06:33 openvpn[10238]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Sep 19 15:06:33 openvpn[10238]: Re-using pre-shared static key
Sep 19 15:06:33 openvpn[10238]: Preserving previous TUN/TAP instance: ovpnc1
Sep 19 15:06:33 openvpn[10238]: UDPv4 link local (bound): [AF_INET]172.16.0.254
Sep 19 15:06:33 openvpn[10238]: UDPv4 link remote: [AF_INET]192.168.10.251:1195
Sep 19 15:07:33 openvpn[10238]: Inactivity timeout (–ping-restart), restarting
Sep 19 15:07:33 openvpn[10238]: SIGUSR1[soft,ping-restart] received, process restarting
Sep 19 15:07:35 openvpn[10238]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Sep 19 15:07:35 openvpn[10238]: Re-using pre-shared static key
Sep 19 15:07:35 openvpn[10238]: Preserving previous TUN/TAP instance: ovpnc1
Sep 19 15:07:35 openvpn[10238]: UDPv4 link local (bound): [AF_INET]172.16.0.254
Sep 19 15:07:35 openvpn[10238]: UDPv4 link remote: [AF_INET]192.168.0.253:1194
Sep 19 15:08:28 openvpn[10238]: Peer Connection Initiated with [AF_INET]192.168.0.253:1194
Sep 19 15:08:29 openvpn[10238]: Initialization Sequence Completed_ -
Пингов нет, тунель "лежит" :(
Как быть?Тут уже много раз писалось - на мультиванах только по TCP надо делать OpenVPN.
На UDP не будет это работать. -
-
Sep 19 15:03:31 openvpn[10238]: Preserving previous TUN/TAP instance: ovpnc1
Думаю, из-за этого не ловит новую Tunnel Network. В конфиге OpenVPN клиента по умолчанию стоит persist-tun и из ГУИ это не правится.
Я бы попробовал поднять 2-х клиентов в филиале на разные адреса головного офиса и разобраться с Quagga OSPF. -
u menya openvpn + quagga ospf otlichno rabotayut