OpenVPN как резервный канал
-
Поможите, други!
Присказка :
Есть 3 интерфейса - WAN (шлюз по умолчанию), LAN, OPT1, где WAN - окно вЕвропуИнтернет, OPT1 - корпоративный канал для связи с филиалами. Всё работает, вот только иногда корпоративный канал пропадает :( и от этой напасти было задумано поднять у себя OpenVPN в кач-ве сервера, а в филиалах, ес-но, клиентов установить-настроить. Сказано - сделано. Клиенты коннектятся, пакетики бегают. Всё чин-чинарём.А теперь Сказка:
Для того чтобы сервер и , соответственно, моя сеть за ним "видели" клиентов и их сети в настройках openvpn-сервера в Advanced configuration - Advanced прописано route 10.x.x.x.x 255.255.255.0, где 10.x.x.x.x - сеть клиента . Вот в этом-то и есть загвоздка :( При таких настройках сразу в таблице маршрутизации появляется ,как и полагается, запись о том что, в сеть клиента ходить через openvpn-шлюз, но корпоративный канал OPT1 пока что работает и ходить в сеть клиента нужно через него, о чем есть в System: Static Routes запись. И в таблице маршрутизации pfsense светятся два маршрута к клиенту - через OPT1 и через openvpn (интерфейс ovpns1). Так вот pfsense считает openvpn-маршрут более приоритетным и сует все обращения к сети клиента через туннель, что мне никак не подходит, т.к. в данный момент времени все с корпоративным каналом (OPT1) отлично и клиенту на той стороне , ес-но, нет надобности в поднятие openvpn-линка как резервного соединения и я сеть клиента не вижу.Что было опробовано :
1. Естественно, попытка назначения метрики маршруту до сети клиента в OpenVPN: Server: Advanced configuration: Advanced вида route 10.x.x.x.x 255.255.255.0 100, где 100 - метрика .
Вариант route 10.x.x.x.x 255.255.255.0 vpn_gateway 100; тоже не прошел.
2. Команды route-up "route delete -net 10.x.x.x 255.255.255.0 "; route-up "route add -net 10.x.x.x 255.255.255.0 "адрес интерефейса OPT1" 1", где 1 - метрика маршрута тоже ничего не дали или их синтаксис неверен.Вопрос :
Понятно, что можно решить эту задачу путем добавления\удаления записи о маршруте в клиентскую сеть вручную, но это неприемлимо в моем случае (клиентов - 29 и доступ к настройкам сервера есть далеко не всегда ). Как сделать так, чтобы OpenVPN-соединение было резервным автоматически? Т.е.корпоративный канал живет и здравствует (при работающем параллельно с прописанными маршрутами на сети клиентов OpenVPN-сервере) - ходить через него , упал - клиент поднимает у себя openvpn-сессию и он видит нас, а мы видим его. Как назначать метрики в pfsense ?Спасибо заранее за помощь.
-
в Advanced configuration - Advanced прописано route 10.x.x.x.x 255.255.255.0, где 10.x.x.x.x - сеть клиента
Попробуй так:
route-metric 100
route 10.x.x.x.x 255.255.255.0
…–route-metric m
Specify a default metric m for use with --route. -
2 rubic:
Уже. Результат - отрицательный :( -
чето ржу…
век живи, век учись)) -
Вот и приехали :( Во Фре нельзя назначать метрики. И это хрен знает нак каком году "жизни" ? Даже ОСь от Билла это умеет.
Может есть еще какие варианты? -
А что за сеть на OPT1 и что в качестве шлюзов в нее используют филиалы? Если на OPT1 есть gateway, то можно пробовать gateway-failower как при dual-wan.
-
А что за сеть на OPT1 и что в качестве шлюзов в нее используют филиалы? Если на OPT1 есть gateway, то можно пробовать gateway-failower как при dual-wan.
Отдельный корпоративный канал. Да, на OPT1 есть шлюз и да , я уже пробовал эту затею с gateway-failover - не работает.
-
podnimaesh openvpn kanali na obeix storonax (s kajdim filialom po 2 kanala bez routinga) bez routinga i dobavlyaesh OSPF u mrnya 4 mesyaca otlichno rabotaet bespereboynozabil chto znachit poterya svyazi v filialax
-
podnimaesh openvpn kanali na obeix storonax (s kajdim filialom po 2 kanala bez routinga) bez routinga i dobavlyaesh OSPF u mrnya 4 mesyaca otlichno rabotaet bespereboynozabil chto znachit poterya svyazi v filialax
У меня на др. конце туннеля клиентом win2k-сервер. И мне нет нужды поднимать ДВА канала openvpn. Мне нужно , если есть корпоративная связь - ходим через OPT1, нет - ходим через openvpn.
При этом openvpn как сервис должен постоянно работать.P.s. Все равно спасибо за совет.
P.s.s. Если б еще описали настройку OSPF на pf с картинками - цены Вам бы не было :) -
vot screen i
da mojno i tak odin interface openvpn drugoy data kanal provaydera xotya ya cherez data provaydera svoy vpn nalajil :)
-
2 vardan
Для особоодаренных (т.е. для меня :) ) объясните, пож-та, мне на стороне клиента openpvn-ого , к-ый у меня под win2k работает, OSPF настраивать надо? -
konechno nado… no ya ne znayu na windax kak polzovatsya ospf om .. ili voobshe vozmojno li eto.. esli na klientskoy storone ne mojesh menyat vindu na pfsense naverno pridyotsya u sebya menyat na windu i polzovatsya microsoftovskimi vozmojnostyami
-
2 vardan
Спасибо за помощь :) Попробую - отпишусь.