Резервирование IPSec или маршрутизация трафи&
-
в общем есть задача, не могу сообразить как реализовать?
начнем с первого:
есть 2 офиса, которые нужно объединить.
в первом офисе 1 провайдер, во 2-м - два провайдера.
поднимаем IPSec в каждом офисе на первых интефейсах - все замечательно, НО как мне организовать поднятие второго туннеля в случае падения первого провайдера (там где их два). ну и естественно возврат обратно при его появлении?
-
Поднять 2 туннеля сразу и настроить на них Load Balansing ?
-
dvserg :
Скажите вы пробовали это сделать? Каким образом это осуществить?
С обычными интерфейсами понятно:
через System –> Routing --> Gateway Groupsа как с туннелями IPSEC? или я не туда смотрю?
-
Собственно да, чейт я замечтался.
Вот темы по балансеру
http://forum.pfsense.org/index.php/topic,27338.0.html
http://ru.doc.pfsense.org/index.php/%D0%98%D0%BD%D1%82%D0%B5%D1%80%D0%BD%D0%B5%D1%82_%D0%BE%D1%82_%D0%B4%D0%B2%D1%83%D1%85_%D0%BF%D1%80%D0%BE%D0%B2%D0%B0%D0%B9%D0%B4%D0%B5%D1%80%D0%BE%D0%B2_(pfSense_2.x)Думается, если WANы объединить Failover LoadBalansing - туннель должен будет переподниматься через работающий канал. А при восстановлении основного - возвращаться на него.
Кто делал - поправьте если не так.
-
Не думаю, что возможно держать два тоннеля активных одновременно. Надо второй поднимать (на обоих сторонах причём), только если "основной" упал.
В pfSense это не реализовано. -
ну неужели ни кто этого не делал?
ЛЮДИ…
поделитесь мыслями, уже вторую неделю голову ломаю...суппорт который платный, так и сказал: Not easily, not with a normal tunnel.
остальное за 600 баксов... :'(подобный вопрос был, но ответа тож нету, задал вопрос автору жду ответа...
http://forum.pfsense.org/index.php/topic,27581.0.htmlответит - поделюсь
-
На site B настроить IPsec в режиме Mobile clients чтобы он сам не пытался инициировать соединение. На site A разнести задачи файловера и туннелирования по разным устройствам. Т.е. туннель будет поднимать кто-то из-за PfSense box A. При файловере канала туннель порвется, но потом опять восстановится через другой WAN.
-
Товарищ gudkov, в support'е правильно сказали.
Это нетривиальная задача и может быть решена только конфигурированием двух тоннелей на обоих концах и включением/выключением соответствующих тоннелей автоматически (на основе доступности первого интерфейса).
PS: c $600 по-моему немного погорячились, хотя, если всё в web-interface загнать, то ещё и мало будет.