IPSec failover
-
Всем доброго!
Сейчас между двумя pfSense (2.1.5) настроен IPSec тунель, все работает исправно.
Теперь нужно сделать резервирование интернета. Планирую это сделать с помощью роутера с USB модемом.Как быть тогда с IPSec тунелями? Просто настроить еще несколько? Отваливается один провайдер, роутер переключает на другого провайдера и тогда начинает работать второй тунель а первый отключается…
-
Доброе.
https://forum.pfsense.org/index.php?topic=88472.0
https://forum.pfsense.org/index.php?topic=66676.0Планирую это сделать с помощью роутера с USB модемом
Рекомендую http://tomato.groov.pl/
Оборудование http://tomato.groov.pl/?page_id=69 . Выбирать, ес-но, с USB.
И да, сейчас Usb-свистки могут работать как сетевые карты. Мегафоновский M150-2 (HUAWEI E3372h) , например.
На 4pda есть по нему ветка.Также , можно посмотреть что-то на MT7620 - http://forum.ixbt.com/topic.cgi?id=14:63015
-
Использую роутер Zyxel - в нем уже встроено переключение между разными провайдерами (проводной и USB).
Переключение происходит нормально и работает как и положено - когда проводной интернет не работает, начинает работать USB, когда проводной снова восстанавливается то роутер возвращается к нему.Будет ли вообще работать подобная схема (IPSec), если на WAN интерфейсе pfSense у меня будет не IP от провайдера, а IP от роутера?
Т.е. сам роутер имеет IP: 10.10.76.1, на WAN pfSense я прописал IP: 10.10.76.2, шлюз и DNS: 10.10.76.1
В роутере я сделал проброс всех портов и всех протоколов на IP который на WAN интерфейсе - на 10.10.76.2
Верно ли все делал?В итоге IPSec тунель поднялся (pfSense показывал что тунель поднят), но связи с другой стороной не было…
Т.к. все делал на горячую, и в итоге не заработало - пришлось все пока вернуть к старой схеме. -
Откл. блокирование серых сетей на WAN пф.
Покажите настройки проброса на железном роутере. Я бы wan-адрес пф (IP: 10.10.76.2) просто добавил в dmz на роутере. -
Туннель через роутер заработал…
Проблема только в том, что когда один интернет прерывается, роутер переключает на другой, а IPSec туннель так и продолжает висеть подключен через старого провайдера.Dead Peer Detection - включил, но это не помогает.
-
System: Advanced: Miscellaneous
Load Balancing Enable default gateway switching - стоит галочка? -
Зачем мне менять шлюз по умолчанию если он у меня не меняется?
Шлюзом выступает роутер… -
Это не шлюз по умолчанию, а дефолтный WAN, через который идёт трафик, и если галочку не ставить, то IPsec и VPN будут ломиться всегда в WAN1.
-
А у меня и нет WAN2, у меня один WAN, роутер сам переключает интернет.
-
Т.к. в центральном филиале пришлось создать два IPSec тунеля, то у них Remote Subnet для фазы 2 одинаковы, из-за этого работает всегда только первый IPSec тунель.
Как это обойти?
-
2 Angel_19
Настройте OpenVPN и не ломайте себе голову.