[Решено] Multi-WAN + OpenVPN, 2.0 Release

sweep4 · Sep 24, 2011, 9:43 AM

Хотел бы поднять заново тему OpenVPN на multi-WAN для вновь вышедшего релиза pfSense.

Исходные данные на текущий момент такие.

Имеются в наличии два WAN-интерфейса:
WAN1 - static IP (192.168.x.x) –> ADSL modem
WAN2 - pppoe

Default gateway на шлюзах отсутствует, в route tables умолчательным шлюзом указан WAN1.

Создан OpenVPN сервер на tcp, бинд на всех интерфейсах. К нему обращаются по адресу интерфейса WAN2. Из поиска по форуму вычитал, что если OpenVPN-server работает по протоколу tcp, то он будет отвечать по тому интерфейсу, откуда пришел запрос. На практике сервер не отвечает (показывает timeout), если умолчательным шлюзом является WAN1. Когда умолчательным шлюзом становится WAN2 - все прекрасно работает.

Какие могут быть варианты решения проблемы ?

dvserg · Sep 20, 2011, 6:53 PM

ADSL в бридж и внешний IP переместить c него на WAN1

sweep4 · Sep 20, 2011, 7:12 PM

@dvserg:

ADSL в бридж и внешний IP переместить c него на WAN1

Как это может помочь ? Фишка в том, что на ADSL не хочется ставить OpenVPN из-за малой скорости и несимметричности канала, для OpenVPN предназначаются симметричные быстрые WAN2 и в будущем WAN3. Таким образом, обращения из внешнего мира на WAN1-OVPN не планируются, только на WAN2 и WAN3. В текущей ситуации пока только на WAN2, на котором я это дело обкатываю.

dvserg · Sep 21, 2011, 4:18 AM

Как это может помочь ?

А какой смысл держать внешний IP на ADSL модеме, если есть полноценный роутер?
Для начала переместите его на WAN1, чтобы исключить из проблемы узел WAN1 <> модем.

sweep4 · Sep 23, 2011, 4:49 PM

@dvserg:

Как это может помочь ?

А какой смысл держать внешний IP на ADSL модеме, если есть полноценный роутер?
Для начала переместите его на WAN1, чтобы исключить из проблемы узел WAN1 <> модем.

Хм, как ни странно, но помогло. Но каким образом это сработало, так и не могу взять в толк ?

dvserg · Sep 23, 2011, 5:29 PM

Модем был дополнительным узлом между PFSense и интернетом и требовал соотв. настроек.

sweep4 · Sep 24, 2011, 9:43 AM

@dvserg:

Модем был дополнительным узлом между PFSense и интернетом и требовал соотв. настроек.

Это понятно, что дополнительным узлом, нужны настройки и т.д. Я не этого не понимаю, а другого - почему бинд OpenVPN на дефолтном шлюзе на внешнем адресе позволяет отзываться ему на других интерфейсах.