Usar rotas de VPN como backup no pfSense
-
Olá pessoal, sou novo no fórum e ainda me considero novato no pfSense, pois cada dia que passa descubro algo novo nele!!
Bom, meu problema é o seguinte, vejam se podem me ajudar!
Na empresa temos 4 endereços distintos espalhados por SP. A empresa tem links da embratel interligando os escritórios, links MPLS.
O ponto concentrador é o site A, e todos os sites tem um link de internet que é usado para a navegação e serviços web dos sites.
Configurei o pfSense com sucesso de maneira que caso o link de internet pare de funcionar a navegação é roteada automaticamente pelo MPLS da embratel saindo pelo ponto central.
O problema é a situação contrária. Estabeleci links de VPN com o IPSec entre o site A e os demais sites (Site A -> Site B / Site A -> Site C / Site A -> Site D), porém quando ativo a VPN todo o tráfego entre os sites sai automaticamente pela VPN, e não é isso que quero, na verdade quero que o tráfego interno continue saindo pela embratel e só venha a sair pela VPN caso o link de embratel pare de funcionar.
Estou estudando algumas alternativas mas gostaria de saber a opinião de vocês. Pensei em utilizar o BGP (mas nunca configurei ele antes, e não faço idéia de como funciona), ou então criar um script que aproveitasse os dados de monitoramento do lnik que o pfsense já faz para quando cair o link ativar o ipsec, porém não faço a mínima idéia de onde começar com esse script.
Qualquer ajuda é bem vinda e obviamente se chegarmos há alguma solução me comprometo a fazer um tutorial e disponibilizar para todos, pois acho que não sou apenas eu que tem uma situação como essa certo!!
Muitissimo obrigado a todos antecipadamente!!
-
Continuando o que conversamos no outro tópico.
A interface do pfsense é toda em php, já fiz alterações e evoluções em dois pacotes e estou aguardando o core team(ermal) compilar o mailscanner para publicar um novo pacote.
Neste tempo, pude observar que fazer pequenas Alterações via script php pode automatizar muita coisa nele.Instalando o pacote cron, Voce consegue ver e alterar o crontab do pfsense, podendo incluir seu script php que habilita o túnel IPSec quando seu MPLS cair.
Acredito que isso seja mais que uma gambiarra, pode ser o inicio de uma alteração no IPSec do pfsense, podendo virar um pacote ou ate entrar na versão 2.1 deste incrível firewall.
Podemos começar procurando a opção do XML que marca se o túnel esta a habilitado ou Nao.
Depois disso basta fazer um php para ativar/desativar este túnel.Att,
Marcello Coutinho -
Então Marcelo, "viajando nas idéias" mais um pouco, imaginei de repente criar um pacote que habilitasse triggers configuráveis no pfSense, por exemplo, uma interface onde pudesse configurar mais ou menos o seguinte:
se "variável/ação/condição" acontecer execute "ação" para "serviço/regra/fila" e etc…
Entendeu!! Definitivamente não tenho conhecimentos sobre o esquema de API e programação no pfSense, mas se você puder pelo menos me dar uma direção de onde procurar informações ou de como começar, pode ter certeza que vou me dedicar no assunto. Preciso resolver isso sem falta!!!
Faz muito tempo que não programo em PHP, mas já desenvolvi um sistema de gestão de provedor totalmente em PHP há alguns anos então acho que não sou tão tapado assim para não conseguir pelo menos fazer uma interface tosca para isso certo!!
-
Excelente noticia.
A estrutura básica dos pacotes do pfsense sao arquivos xml que que montam as telas da framework do pfsense e um arquivo inc que na verdade é um script php que executa as ações do pacote tais como
-
gerar arquivo de configuração
-
criticar dados digitados na gui
-
iniciar ou parar o serviço
-
sincronizar configurações com outros pfsenses
Da uma olhada no repositório do pfsense e do pfsense-packages no github.com
-
-
Talvez viajei na ideia, mas basicamente voce deve ter posto o ipsec como gateway default por isso na os outros pontos usavam a net do ponto A, uma saída simples utilizar o sistema de load balance pra quando o link cair jogar pelo outro ponto, o pf já monitora o link principal mesmo, acho que cabe a mesma solução de load balance já visto em vários tópicos, se viajei mesmo desculpe… :)
-
Olhei hoje as opções do Ipsec e aparentemente, so temos a opção de habilitar ou desabilitar o ipsec como um todo.
Para este caso específico, é melhor deixar a verificacao nas pontas.
vou fazer uns testes aqui e posto o resultado.
-
fneto,
Testa por favor a primeira versão do script.
require_once("util.inc"); require_once("functions.inc"); require_once("pkg-utils.inc"); require_once("globals.inc"); require_once("filter.inc"); require_once("shaper.inc"); require_once("ipsec.inc"); require_once("vpn.inc"); $ipsec=$config['ipsec']; if (! is_ipaddr($argv[1])){ print "invalid ip address!\n"; exit(1); } exec("/sbin/ping -c 1 -t 1 $argv[1]",$ret,$exit1); if ($exit1 == 0) exec("/sbin/ping -c 1 -t 1 $argv[1]",$ret,$exit2); if ($exit2 == 0) exec("/sbin/ping -c 1 -t 1 $argv[1]",$ret,$exit3); $exit = ($exit1 + $exit2 + $exit3); if ($exit == 0){ #link online if (array_key_exists("enable",$ipsec)){ print "link online, disabling ipsec\n"; unset ($config['ipsec']['enable']); write_config(); vpn_ipsec_configure(); vpn_ipsec_refresh_policies(); filter_configure(); } else print "link online\n"; } else{ if (! array_key_exists("enable",$ipsec)){ print "link offline, enabling ipsec\n"; $config['ipsec']['enable']=""; write_config(); vpn_ipsec_configure(); vpn_ipsec_refresh_policies(); filter_configure(); } else print "link offline\n"; } ?>salva ele em /var/www/check_mpls.php ou qualquer outro nome que voce preferir.
Ele pinga o ip passado como argumento, se o ping falhar, ele habilita o ipsec e aplica as configurações.
Durante o tempo offline ele mantem o ipsec ativo e assim que o ping respoder ele desativa o ipsec.Nota:
Antes de rodar o script, desabilite manualmente o ipsec na gui.
Rode primeiro na mão php -q ./check_mpls.php 172.16.5.6 e veja o comportamento dele.Aguardo o feedback
att,
Marcello Coutinho -
Marcello, eu mal comecei a entender o esquema de programação do pfSense e você já vem com a solução pronta!!!
Estou até envergonhado!!
Vou fazer a instalação remotamente e testar o script. Como estou remoto, vou desabilitar o ipsec e fazer o ping em um ip que está online apenas para ver se o script vai permanecer sem chamar o ipsec.
Depois vou fazer o teste pingando em um ip off-line para ver se o ipsec sobe.
Assim que tiver um retorno já te falo. Abraços!
-
Olá Marcello!
Acabei de rodar o script e ele funcionou corretamente, porém gostaria de lhe mostrar uma coisa. Com o script up, verifiquei o status do ipsec e ele mostrou um link para iniciar a VPN backup do mpls individualmente. Segue abaixo o screen shot e o link do botão de start.
Parece que o primeiro link de vpn sobe automaticamente, mas o secundário pode ser iniciado ou pausado individualmente independente do ipsec já estar ativo!!
https://200.x.x.x:8443/diag_ipsec.php?act=connect&remoteid=10.0.16.0&source=172.28.1.1
-
Voce acha que a url que Voce colou resolve o problema? Nao entendi direito o resultado do seu teste.
-
Veja bem, são 2 coisas diferentes!!
1 - O script rodou ok!!!
- Desliguei o ipsec na GUI
- Rodei o scrip com um ip que estava online e ele reportou que o ip estava on line e não desligou
- Rodei o script novamente com um ip que estava offline e dai ele ativou o ipsec na gui!
2 - Após ativar o ipsec na gui, percebi que o IPSEC oferece a opção de controle da VPN por vpn, então imaginei que ao invés do script ativer ou desativar todo o ipsec, ele poderia apenas ativar ou desativar apenas a conexão de vpn desejada sem parar todo o ipsec do sistema.
Dessa maneira, imagine que 2 links cairam, mas apenas 1 voltou a funcionar, o que já estivesse ok voltaria para o MPLS, o que estivesse ainda com problemas continuaria no VPN.Outra coisa, o script precisa aceitar como parâmetro a interface de rede que você deseja usar para fazer o teste de ping, pois quando a VPN estiver no ar o ping vai continuar dando ok pois estará indo pela VPN!!
Abraços!
-
Entendi.
Faz este teste para ver se a url individual resolve o problema:
Desabilita o script e o ipsec.
Depois roda só a url que você colou com os parametros da sua vpn backup do MPLS e vê se alem dela subir, ela se mantem no ar apos alguns updates ou algumas horas.
-
Após dar um paste na URL ele pensa um pouco mas não conecta não!!
Chequei a gui e o ipsec continua desligado após clicar no start da conexão de vpn, que continua aparecendo (porem com o x vermelho) no status do ipsec!
-
Nesta segunda versao do script, voce coloca qualquer parametro de ping como argumento e por ultimo o ip de destino.
require_once("util.inc"); require_once("functions.inc"); require_once("pkg-utils.inc"); require_once("globals.inc"); require_once("filter.inc"); require_once("shaper.inc"); require_once("ipsec.inc"); require_once("vpn.inc"); $ipsec=$config['ipsec']; $host=array_pop($argv); if (! is_ipaddr($host)){ print "invalid ip address!\n"; exit(1); } array_shift($argv); $args=implode(" ", $argv); exec("/sbin/ping -c 1 -t 1 $args $host",$ret,$exit1); if ($exit1 == 0) exec("/sbin/ping -c 1 -t 1 $args $host",$ret,$exit2); if ($exit2 == 0) exec("/sbin/ping -c 1 -t 1 $args $host",$ret,$exit3); $exit = ($exit1 + $exit2 + $exit3); if ($exit == 0){ #link online if (array_key_exists("enable",$ipsec)){ print "link online, disabling ipsec\n"; unset ($config['ipsec']['enable']); write_config(); vpn_ipsec_configure(); vpn_ipsec_refresh_policies(); filter_configure(); } else print "link online\n"; } else{ if (! array_key_exists("enable",$ipsec)){ print "link offline, enabling ipsec\n"; $config['ipsec']['enable']=""; write_config(); vpn_ipsec_configure(); vpn_ipsec_refresh_policies(); filter_configure(); } else print "link offline\n"; } ?>ex: php -q ./check_ipsec.php -S 172.16.5.6 172.16.5.7
veja se assim voce consegue forçar a interface de saida do ping.
-
Talvez viajei na ideia, mas basicamente voce deve ter posto o ipsec como gateway default por isso na os outros pontos usavam a net do ponto A.
Oi Rafael,
Onde você altera a prioridade de rota do ipsec e como faríamos neste caso para o pfsense escolher entre dois caminhos para a mesma rede de destino?
-
Olá Marcello fiz o teste com a nova versão do script e está funcionando corretamente. vou instalar o pacote cron no pfsense e configurar o script para rodar.
Quero ver se começo a estudar os plugins e programação hoje, durante a semana é muito corrido para mim!!
Muitíssimo obrigado!!
-
Olá Marcelloc, tudo bem?
Rapaz lembra do script check_mpls que você fez para mim, então estou tentando ajustar aquele script para ao invés de desligar toda a estrutura do ipsec desligar apenas os túneis que passei como parâmetro.
Estou apanhando com isso a tarde toda mas até agora não entendi como fazer isso, poderia me dar uma força? Se estiver disponível eu te mando o script com as alterações ok!
Abraços!
-
fneto,
A opção de desabilitar o ipsec ou não envolve todos os tuneis, por isso o script roda nas pontas, onde só existe um túnel.
para derrubar somente um link, você vai precisar suar os comando do proprio ipsec, racoon-alguma coisa. Não tenho muita experiência com isso.
att,
Marcello Coutinho
-
Então Marcello, na verdade não, o que quero é apenas habilitar a opção "Disable this phase1" e "Disable this phase 2" na interface do pfsense, feito isso salvo a configuração e ele mata somente o túnel que eu passar o id como parâmetro entendeu!!
Não quero mexer com racoon nem nada disso, como você desabilitou o ipsec todo na interface achei que talvez pudesse me ajudar a encontrar a opção de desabilitar apenas os túneis.
Na verdade eu já identifiquei as variáveis nos array estudando os arquivos do pfSense, o que não estou conseguindo fazer é gravar as configurações!
-
as funções que gravam a configuração e aplicam os filtros estão todas juntas
write_config();
e as demais.
Dá uma olhada neste pedaço de código do dansguardian.
Nele eu vefico os valores do array e salvo caso haja alterações$count=0; if (is_array($config['installedpackages']['dansguardianphraseacl']['config'])) foreach($config['installedpackages']['dansguardianphraseacl']['config'] as $dansguardian_phrase){ #bannedphraselist if($dansguardian_phrase['banned_phraselist'] == "" && file_exists ($dansguardian_dir.'/lists/bannedphraselist.sample')){ $config['installedpackages']['dansguardianphraseacl']['config'][$count]['banned_phraselist']=base64_encode(file_get_contents($dansguardian_dir.'/lists/bannedphraselist.sample')); $load_samples++; } $includes=preg_replace($match,$replace,$dansguardian_phrase['banned_includes']); file_put_contents($dansguardian_dir."/lists/bannedphraselist.".$dansguardian_phrase['name'],($dansguardian_phrase['banned_enabled']?dg_text_area_decode($config['installedpackages']['dansguardianphraseacl']['config'][$count]['banned_phraselist']).$includes:""),LOCK_EX); #weightedphraselist if($dansguardian_phrase['weighted_phraselist'] == "" && file_exists ($dansguardian_dir.'/lists/weightedphraselist.sample')){ $config['installedpackages']['dansguardianphraseacl']['config'][$count]['weighted_phraselist']=base64_encode(file_get_contents($dansguardian_dir.'/lists/weightedphraselist.sample')); $load_samples++; } $includes=preg_replace($match,$replace,$dansguardian_phrase['weighted_includes']); file_put_contents($dansguardian_dir."/lists/weightedphraselist.".$dansguardian_phrase['name'],($dansguardian_phrase['weighted_enabled']?dg_text_area_decode($config['installedpackages']['dansguardianphraseacl']['config'][$count]['weighted_phraselist']).$includes:""),LOCK_EX); #exceptionphraselist if($dansguardian_phrase['exception_phraselist'] == "" && file_exists ($dansguardian_dir.'/lists/exceptionphraselist.sample')){ $config['installedpackages']['dansguardianphraseacl']['config'][$count]['exception_phraselist']=base64_encode(file_get_contents($dansguardian_dir.'/lists/exceptionphraselist.sample')); $load_samples++; } file_put_contents($dansguardian_dir."/lists/exceptionphraselist.".$dansguardian_phrase['name'],($dansguardian_phrase['exception_enabled']?dg_text_area_decode($config['installedpackages']['dansguardianphraseacl']['config'][$count]['exception_phraselist']):""),LOCK_EX); $count++; } if($load_samples > 0) write_config();
