Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Объединение двух офисов, резервирование l

    Scheduled Pinned Locked Moved Russian
    18 Posts 7 Posters 14.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      dr.gopher
      last edited by

      @schmel:

      http://iboxjo.h1.ru/books/pfsense/ebook/pfSense_CH15.pdf

      Угу. А как в клиенту openvpn объяснить, что WAN1 сервера упал и теперь надо делать запрос на WAN2 сервера?

      FAQ PfSense 2.0

      И не забываем про Adblock дабы не видеть баннеров.

      И многое другое на www.thin.kiev.ua

      1 Reply Last reply Reply Quote 0
      • S
        sweep4
        last edited by

        @dr.gopher:

        @Ficus666:

        Теперь встает вопрос, как лучше настроить openvpn между двумя гейтами на pfsense с учетом резервирования каналов:
        с какой стороны поднимать сервер, а с какой клиент?

        Хе…
        Тут вопрос еще в том, как вы заставите openvpn ходить на разные IP?
        С почтовым сервером, все решается MX записями. А вот как тут быть?

        Эта тема мне тоже интересна, и мне кажется, вопрос в том, как OpenVPN резолвит записи с DNS - по одному или списком ?

        Ну то есть, если я сделал две A-записи на условный myvpn.mydomain, что из этого получится ? Ничего путного ?

        1 Reply Last reply Reply Quote 0
        • D
          dr.gopher
          last edited by

          @sweep4:

          Ну то есть, если я сделал две A-записи на условный myvpn.mydomain, что из этого получится ?

          Первую запись отрезолвит.

          Вот, гугль принес
          Можно в конфигурации клиента указать несколько адресов сервера. Клиент должен подключаться последовательно…

          remote server-address-1 1194
          remote server-address-2 1194

          FAQ PfSense 2.0

          И не забываем про Adblock дабы не видеть баннеров.

          И многое другое на www.thin.kiev.ua

          1 Reply Last reply Reply Quote 0
          • F
            Ficus666
            last edited by

            @dr.gopher:

            @sweep4:

            Ну то есть, если я сделал две A-записи на условный myvpn.mydomain, что из этого получится ?

            Первую запись отрезолвит.

            Вот, гугль принес
            Можно в конфигурации клиента указать несколько адресов сервера. Клиент должен подключаться последовательно…

            remote server-address-1 1194
            remote server-address-2 1194

            интересует еще и обратный автоматический переход на основной VPN. как он в таком случае отработает? и вообще отработает ли?

            1 Reply Last reply Reply Quote 0
            • D
              dr.gopher
              last edited by

              Достаточно создать один файл конфигурации openvpn на клиенте, и в нём прописать секции для каждого IP-адреса сервера. Также в этих секциях можно специфические для каждого IP-адреса настройки, но это не для данного случая. При наличии в настройках клиента опций «ping-restart m» или «keepalive n m», начнётся попытка соединения со следующим сервером через m секунд, если предыдущее подключение было нерабочим.
              Т.е. в файле настроек неизменные части сохранятся, добавятся секции :cat /etc/openvpn/ABC.conf
              client
              proto udp
              dev tap2
              <connection>remote AA.AA.AA.AA:1194</connection>
              <connection>remote BB.BB.BB.BB:1194</connection>
              nobind
              persist-key
              keepalive 10 120
              cipher BF-CBC
              comp-lzo
              verb 0
              ca /etc/openvpn/ca.crt
              cert /etc/openvpn/client.crt
              key /etc/openvpn/client.key

              FAQ PfSense 2.0

              И не забываем про Adblock дабы не видеть баннеров.

              И многое другое на www.thin.kiev.ua

              1 Reply Last reply Reply Quote 0
              • F
                Ficus666
                last edited by

                Настроил туннель по этому ману c youtube
                Может кому пригодится.

                1 Reply Last reply Reply Quote 0
                • F
                  Ficus666
                  last edited by

                  @dr.gopher:

                  @sweep4:

                  Ну то есть, если я сделал две A-записи на условный myvpn.mydomain, что из этого получится ?

                  Первую запись отрезолвит.

                  Вот, гугль принес
                  Можно в конфигурации клиента указать несколько адресов сервера. Клиент должен подключаться последовательно…

                  remote server-address-1 1194
                  remote server-address-2 1194

                  А где это можно прописать?
                  Через WebGui ?

                  1 Reply Last reply Reply Quote 0
                  • F
                    Ficus666
                    last edited by

                    Простите за предыдущий пост  :-[
                    До конца не разобрался просто….

                    Сделал:
                    Со стороны сервера multi WAN.
                    WAN - Основной
                    OPT1 -Резервный
                    На каждом из интерфейсе поднял свой OpenVPN сервер. Firewall настроил.

                    У каждого свой порт и у каждого своя Tunnel Network.
                    [i]Когда ставишь одинаковую Tunnel Network (основной или резерв), то один из OpenVPN серверов переходит в статус STOP.

                    Со стороны клиента в поле Advanced configuration добавил строчку:
                    remote 192.168.10.251 1195   (ip резервного канала и порт)

                    Тестирование:

                    Сервер:
                    Основной канал "упал", основной VPN канал "упал".
                    Поднялся резерв канал, сервер VPN на резерве готов

                    Клиент:
                    Понял что основной VPN канал "упал".
                    Пытается подсоединиться на резерв. Подсоединяется (видно из Status:OpenVPN на сервере)

                    В логах со стороны клиента появляется запись:
                    openvpn[10238]: WARNING: 'ifconfig' is used inconsistently, local='ifconfig 10.0.8.2 10.0.8.1', remote='ifconfig 10.0.9.2 10.0.9.1'

                    Пингов нет, тунель "лежит" :(
                    Как быть?

                    _Весь лог со стороны клиента(172.16.0.254 - Клиент, 192.168.0.253 - Основной сервера, 192.168.10.251 - Резерв сервера):

                    Sep 19 14:52:15 openvpn[45219]: event_wait : Interrupted system call (code=4)
                    Sep 19 14:52:15 openvpn[45219]: /usr/local/sbin/ovpn-linkdown ovpnc1 1500 1560 10.0.8.2 10.0.8.1 init
                    Sep 19 14:52:15 openvpn[45219]: SIGTERM[hard,] received, process exiting
                    Sep 19 14:52:16 openvpn[9341]: OpenVPN 2.2.0 i386-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 11 2011
                    Sep 19 14:52:16 openvpn[9341]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
                    Sep 19 14:52:16 openvpn[9341]: TUN/TAP device /dev/tun1 opened
                    Sep 19 14:52:16 openvpn[9341]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
                    Sep 19 14:52:16 openvpn[9341]: /sbin/ifconfig ovpnc1 10.0.8.2 10.0.8.1 mtu 1500 netmask 255.255.255.255 up
                    Sep 19 14:52:16 openvpn[9341]: /usr/local/sbin/ovpn-linkup ovpnc1 1500 1560 10.0.8.2 10.0.8.1 init
                    Sep 19 14:52:16 openvpn[10238]: UDPv4 link local (bound): [AF_INET]172.16.0.254
                    Sep 19 14:52:16 openvpn[10238]: UDPv4 link remote: [AF_INET]192.168.0.253:1194
                    Sep 19 14:52:21 openvpn[10238]: Peer Connection Initiated with [AF_INET]192.168.0.253:1194
                    Sep 19 14:52:22 openvpn[10238]: Initialization Sequence Completed
                    Sep 19 15:02:27 openvpn[10238]: Inactivity timeout (–ping-restart), restarting
                    Sep 19 15:02:27 openvpn[10238]: SIGUSR1[soft,ping-restart] received, process restarting
                    Sep 19 15:02:29 openvpn[10238]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
                    Sep 19 15:02:29 openvpn[10238]: Re-using pre-shared static key
                    Sep 19 15:02:29 openvpn[10238]: Preserving previous TUN/TAP instance: ovpnc1
                    Sep 19 15:02:29 openvpn[10238]: UDPv4 link local (bound): [AF_INET]172.16.0.254
                    Sep 19 15:02:29 openvpn[10238]: UDPv4 link remote: [AF_INET]192.168.0.253:1194
                    Sep 19 15:03:29 openvpn[10238]: Inactivity timeout (–ping-restart), restarting
                    Sep 19 15:03:29 openvpn[10238]: SIGUSR1[soft,ping-restart] received, process restarting
                    Sep 19 15:03:31 openvpn[10238]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
                    Sep 19 15:03:31 openvpn[10238]: Re-using pre-shared static key
                    Sep 19 15:03:31 openvpn[10238]: Preserving previous TUN/TAP instance: ovpnc1
                    Sep 19 15:03:31 openvpn[10238]: UDPv4 link local (bound): [AF_INET]172.16.0.254
                    Sep 19 15:03:31 openvpn[10238]: UDPv4 link remote: [AF_INET]192.168.10.251:1195
                    Sep 19 15:03:39 openvpn[10238]: Peer Connection Initiated with [AF_INET]192.168.10.251:1195
                    Sep 19 15:03:40 openvpn[10238]: Initialization Sequence Completed
                    Sep 19 15:03:41 openvpn[10238]: WARNING: 'ifconfig' is used inconsistently, local='ifconfig 10.0.8.2 10.0.8.1', remote='ifconfig 10.0.9.2 10.0.9.1'
                    Sep 19 15:06:31 openvpn[10238]: Inactivity timeout (–ping-restart), restarting
                    Sep 19 15:06:31 openvpn[10238]: SIGUSR1[soft,ping-restart] received, process restarting
                    Sep 19 15:06:33 openvpn[10238]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
                    Sep 19 15:06:33 openvpn[10238]: Re-using pre-shared static key
                    Sep 19 15:06:33 openvpn[10238]: Preserving previous TUN/TAP instance: ovpnc1
                    Sep 19 15:06:33 openvpn[10238]: UDPv4 link local (bound): [AF_INET]172.16.0.254
                    Sep 19 15:06:33 openvpn[10238]: UDPv4 link remote: [AF_INET]192.168.10.251:1195
                    Sep 19 15:07:33 openvpn[10238]: Inactivity timeout (–ping-restart), restarting
                    Sep 19 15:07:33 openvpn[10238]: SIGUSR1[soft,ping-restart] received, process restarting
                    Sep 19 15:07:35 openvpn[10238]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
                    Sep 19 15:07:35 openvpn[10238]: Re-using pre-shared static key
                    Sep 19 15:07:35 openvpn[10238]: Preserving previous TUN/TAP instance: ovpnc1
                    Sep 19 15:07:35 openvpn[10238]: UDPv4 link local (bound): [AF_INET]172.16.0.254
                    Sep 19 15:07:35 openvpn[10238]: UDPv4 link remote: [AF_INET]192.168.0.253:1194
                    Sep 19 15:08:28 openvpn[10238]: Peer Connection Initiated with [AF_INET]192.168.0.253:1194
                    Sep 19 15:08:29 openvpn[10238]: Initialization Sequence Completed_

                    1 Reply Last reply Reply Quote 0
                    • S
                      sweep4
                      last edited by

                      @Ficus666:

                      Пингов нет, тунель "лежит" :(
                      Как быть?

                      Тут уже много раз писалось - на мультиванах только по TCP надо делать OpenVPN.
                      На UDP не будет это работать.

                      1 Reply Last reply Reply Quote 0
                      • F
                        Ficus666
                        last edited by

                        @sweep4:

                        @Ficus666:

                        Пингов нет, тунель "лежит" :(
                        Как быть?

                        Тут уже много раз писалось - на мультиванах только по TCP надо делать OpenVPN.
                        На UDP не будет это работать.

                        Ок. Можно поменять на TCP, но как быть с Tunnel Network ?

                        1 Reply Last reply Reply Quote 0
                        • R
                          rubic
                          last edited by

                          Sep 19 15:03:31    openvpn[10238]: Preserving previous TUN/TAP instance: ovpnc1

                          Думаю, из-за этого не ловит новую Tunnel Network. В конфиге OpenVPN клиента по умолчанию стоит persist-tun и из ГУИ это не правится.
                          Я бы попробовал поднять 2-х клиентов в филиале на разные адреса головного офиса и разобраться с Quagga OSPF.

                          1 Reply Last reply Reply Quote 0
                          • V
                            vardan
                            last edited by

                            u menya  openvpn + quagga ospf otlichno rabotayut

                            1 Reply Last reply Reply Quote 0
                            • First post
                              Last post
                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.