OpenVPN PSK: Site-to-Site инструкция для обсуждения
-
У линка OVPNS1 - OVPNC1 метрика меньше чем у OVPNS2 - OVPNC2 поэтому все идет сейчас через него. Но если линк оборвать в головном офисе (отключить WAN1), то маршрутизаторы по оставшемуся линку посредством OSPF договорятся, что линк упал и перестроят таблицы. Все пойдет по OVPNS2 - OVPNC2. Это довольно быстро происходит, пропадает буквально один пинг))
Добрый вечер! Настроил в офисе все по инструкции OSPF, работет отменно, переключает правильно. Вот только нюанс, при переключени с основного openvpn на резервный пропадает больше (а точнее 8 пингов, примерно 40 сек) пингов чем было заверенно в инструкции (а при переключении с резервного на основной ни одного пинга не пропадает). Покопавшись по нету, нарыл в настройках OpenVPN опция "keepalive 10 60" которая отвечает за то, что данный канал впн лежит. При изменении этого параметра, перезапуск сервера впн всюравно возвращает стандартные настройки. Кто-то сталкивался с такой ситуацией?
-
Там еще написано, что "результаты получены на стенде и требуют проверки". OSPF сам определяет, что канал лежит и не ориентируется при этом на состояние туннеля OpenVPN.
40 сек. - это RouterDeadInterval по дефолту. -
Благодарю за скорый ответ!
Попытался подправить конфиги в веб-интерфейсе (pfsense 2.2.6) Services: Quagga OSPFd -> Inteface settings -> ovpncX -> "Hello Interval" = 5 and "Dead Timer" = 15 на двух роутерах (перезагрузил оба роутера) все поднялось, за исключением того, что OSPF перестал автоматом перестраивать маршруты. Вернул "Hello Interval" and "Dead Timer" в дефолтные настройки - все отлично работает и перестривает маршруты при падении или востановлении основного впн.Сначало настраивал по инструкциям в топике плюс замечания - итог, не работало как надо. Нашел вот такой ман: http://www.pfsense-br.org/blog/2014/01/configuracao-do-quagga-ospfd/ - заработало.
Вопрос состоит в следующем, как уменьшить время переключения с дефолтных 40 сек до 20 сек. Кто сталкивался с данной задачей?
Главный офис
bce1 - локальная сеть
Во вкладке "Interface Settings" добавлены только следующие впн-ы (а интерфейс локальной сети в данной вкладке не добавлен)
ovpns3 - главный впн
ovpns4 - резервный впнQuagga OSPF Interfaces (вкладка Status):
bce1 is up ifindex 6, MTU 1500 bytes, BW 0 Kbit <up,broadcast,running,simplex,multicast>Internet Address 192.168.5.3/16, Broadcast 192.168.255.255, Area 0.0.0.1 MTU mismatch detection:enabled Router ID 0.0.0.1, Network Type BROADCAST, Cost: 10 Transmit Delay is 1 sec, State DR, Priority 1 Designated Router (ID) 0.0.0.1, Interface Address 192.168.5.3 No backup designated router on this network Multicast group memberships: OSPFAllRouters OSPFDesignatedRouters Timer intervals configured, Hello 10s, Dead 40s, Wait 40s, Retransmit 5 Hello due in 3.070s Neighbor Count is 0, Adjacent neighbor count is 0 ovpns3 is up ifindex 13, MTU 1500 bytes, BW 0 Kbit <up,pointopoint,running,multicast>Internet Address 10.0.1.1/32, Peer 10.0.1.2, Area 0.0.0.1 MTU mismatch detection:enabled Router ID 0.0.0.1, Network Type POINTOPOINT, Cost: 5 Transmit Delay is 1 sec, State Point-To-Point, Priority 1 No designated router on this network No backup designated router on this network Multicast group memberships: OSPFAllRouters Timer intervals configured, Hello 10s, Dead 40s, Wait 40s, Retransmit 5 Hello due in 5.833s Neighbor Count is 1, Adjacent neighbor count is 1 ovpns4 is up ifindex 14, MTU 1500 bytes, BW 0 Kbit <up,pointopoint,running,multicast>Internet Address 10.0.2.1/32, Peer 10.0.2.2, Area 0.0.0.1 MTU mismatch detection:enabled Router ID 0.0.0.1, Network Type POINTOPOINT, Cost: 10 Transmit Delay is 1 sec, State Point-To-Point, Priority 1 No designated router on this network No backup designated router on this network Multicast group memberships: OSPFAllRouters Timer intervals configured, Hello 10s, Dead 40s, Wait 40s, Retransmit 5 Hello due in 3.682s Neighbor Count is 1, Adjacent neighbor count is 1</up,pointopoint,running,multicast></up,pointopoint,running,multicast></up,broadcast,running,simplex,multicast> -
В настройках есть вкладка Raw Config. Можно поместить туда текущее содержимое /var/etc/quagga/ospfd.conf и /var/etc/quagga/zebra.conf, потом править опции, которые недоступны из GUI. Сам не пробовал.
-
Спасибо за ответ, но настройка данный опций есть в GUI, раздел настройки интерфейсов OSPF. Вопрос в том, как это правильно сделать, учитывая мой предыдущий пост.
-
Проглядел, извиняюсь. Пробуйте другие значения, Dead Timer кратен Hello Interval, на интерфейсах, смотрящих друг на друга, настройки одинаковые. Готовых ответов тут нет, только метод тыка и аккуратность.
-
Всем добра!
OpenVPN в режиме PSK
Добавляю интерфейс в статический вот так https://forum.pfsense.org/index.php?topic=58846.msg316063#msg316063
Проблема вот какие:
0) как только создаю интерфейс - моментально пропадает маршрутизация до IP адресов из туннеля с компа в LAN, и моментально отваливается канал в удалённую сетку. При этом пинг с интерфейсов openVPN работает и до другого конца туннеля, и до удалённой сетки!- в floating rules нельзя указывать Gateways
- если в RULES например LAN интерфейса я указываю разрешающее правило вида LAN_NET->remote_net через шлюз openVPN – маршрутизация ни в адреса туннеля, ни в удалённую сетку не появляется. Пакеты для remote_net летят в default шлюз и там вешаются в state, а пакеты для туннельного адреса вешаются на верный интерфейс. Тут есть некоторая примечательная разница:
пинг другого конца туннеля
^C
C:\Users\test1>ping 192.168.200.6Обмен пакетами с 192.168.200.6 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.пинг компа в remote_net
C:\Users\test1>ping 192.168.40.100
Обмен пакетами с 192.168.40.100 по с 32 байтами данных:
Ответ от 192.168.1.1: Заданный узел недоступен.
Ответ от 192.168.1.1: Заданный узел недоступен.Получается, маршрутер пытается прогнать пакет по своей внутренней маршрутизации?
Как можно вылечить?
-
После добавления интерфейса надо бы правило на нем правило создать в firewall > rules, чтобы пускало трафик
В floating rules gateway указывать можно, надо только понимать, что src ip пакетов завернутых правилом в туннель будет ip wan -
После добавления интерфейса надо бы правило на нем правило создать в firewall > rules, чтобы пускало трафик
В floating rules gateway указывать можно, надо только понимать, что src ip пакетов завернутых правилом в туннель будет ip wanпопробовал. Не даёт сохранить.
![2016-02-11 12-50-15 win7 test 1 [????????] - Oracle VM VirtualBox.png](/public/imported_attachments/1/2016-02-11 12-50-15 win7 test 1 [????????] - Oracle VM VirtualBox.png)
![2016-02-11 12-50-15 win7 test 1 [????????] - Oracle VM VirtualBox.png_thumb](/public/imported_attachments/1/2016-02-11 12-50-15 win7 test 1 [????????] - Oracle VM VirtualBox.png_thumb) -
рулесы прописаны звёздочками и на openvpn, и на ручном интерфейсе
![2016-02-11 12-56-01 win7 test 1 [????????] - Oracle VM VirtualBox.png](/public/imported_attachments/1/2016-02-11 12-56-01 win7 test 1 [????????] - Oracle VM VirtualBox.png)
![2016-02-11 12-56-01 win7 test 1 [????????] - Oracle VM VirtualBox.png_thumb](/public/imported_attachments/1/2016-02-11 12-56-01 win7 test 1 [????????] - Oracle VM VirtualBox.png_thumb) -
Нужно выбрать направление пакетов - out
-
Нужно выбрать направление пакетов - out
поясните. Я не понял о чём речь.
М.б. вы об этом…...![2016-02-11 14-35-50 win7 test 1 [????????] - Oracle VM VirtualBox.png](/public/imported_attachments/1/2016-02-11 14-35-50 win7 test 1 [????????] - Oracle VM VirtualBox.png)
![2016-02-11 14-35-50 win7 test 1 [????????] - Oracle VM VirtualBox.png_thumb](/public/imported_attachments/1/2016-02-11 14-35-50 win7 test 1 [????????] - Oracle VM VirtualBox.png_thumb) -
проблема в шлюзе по умолчанию для основной таблицы маршрутизации у pf-а!!
Если выставить основным шлюзом OpenVPN интерфейс НА ОБОИХ pfsense - всё работает без нареканий!!!Как с этим бороться?
-
2 derwin
1. Не нужно создавать руками отдельно Openvpn-интерфейсы.
2. Не трогайте флоатинг рулез - настраивайте обычные на интерфейсах. Потом с ними разберетесь.
3. При создании правил на LAN для доступа к сетям впн не надо указывать gw. -
Вы чего добиться-то пытаетесь? Того, что в этой ссылке: https://forum.pfsense.org/index.php?topic=58846.msg316063#msg316063 ? Тогда там floating rule с gateway и direction out
Я тоже перестал что либо понимать -
Создал соединение по первой инструкции.
Тунели поднимаются, но компы двух локалок не видят друг друга! Но если пробовать на самом pfSense из филиала пинговать компы цент. офиса, то пинги идут, аналогично и наоборот, на pfSense из центр. офиса пинги идут до компов филиала.Что не так?
-
Поищите статьи по OpenVPN на ixbt. Там на русском.
Уже занянчили, если честно, элементарными вопросами по OpenVPN.
-
IPSec туннели по тем же маршрутам нужно именно выключить, а не переводить их в состояние когда они не могут подключиться! (Я делал именно так.)
Все работает. 8)Если у меня в центр. офисе там где сервер OpenVPN используются два провайдера интернета, то я могу на клиенте добавить второй IP для подключения так:
remote 4.3.2.1 1194в секции Advanced?
-
Поищите статьи по OpenVPN на ixbt. Там на русском.
-
Здравствуйте.
Сегодня решил обновить фаервол на филиале.
никак не получается настроить чтобы pfsense на филиале смог пробиться в интернет за обновлениями.
Все правила создавал как в инструкции. За одним исключением. У меня в головном офисе VLANы сделаны. То есть по одному оптоволокну идет и VPN и INternet. Соответственно с тегами сделаны виртуальные интерфейсы. Я уже пробовал и на VPN занатить в головном офисе и на Internet. Ничего не получается.И второй вопрос:
Назрел вариант установки домен контроллера для всех подсетей. А так как у меня сейчас настройки типа TUN, то надо будет создавать разные леса, а этого не хотелось бы. Как можно поменять интерфейс с TUN на TAP, чтобы все было в одной подсети, и какие подводные камни. Я пересмотрел кучу мануалов, но так и не понял как это должно работать. Понял только, что надо будет добавлять Brige режим.
