Отказоустойчивый ipsec vpn через multiwan

Igor Filth

Добрый день.
Хотел бы поинтересоваться насчёт возможности создания отказоустойчивого ipsec vpn туннеля между несколькими офисами.
Схема сети такова:
Офис 1 – 2 интернет канала со статическими IP. На основном провайдере скорость 1Gbps, на резервном 100Mbps.

Офис 2 – аналогично первому.

Офис 3 – 1 канал со статическим IP (резервный канал планируется в ближайшее время).

Что пока сделано:

В офисе 1 и 2 настроен MultiWAN. И поднят туннель между основными каналами интернета.
Когда один из каналов падает, приходится лезть и менять ip на vpn туннеле вручную.
Создал А-записи на внешнем DNS, где VPNOffice1.domain.ru – IP-адреса первого офиса, VPNoffice2.domain.ru - IP-адреса второго офиса. Но пока не могу понять, может ли мне это как-то помочь для поднятия отказоустойчивого IPSEC.

werter

Доброе
Вар 1

Если возможно, то исп. OpenVPN вместо IPSEC. Для faiover можно исп. несколько директив remote в конф. файле одной из сторон.
Т.е. постоянно у вас будет поднят только один линк между офисами. При пропадании линка коннект будет идти на др. адрес.
Но вот возращаться при появлении связи на основной он не будет :(

Вар 2
Поднять два линка одновременно с разных интрефейсов. Т.е., Оф1_ВАН1 ->Оф2_ВАН1 и Оф1_ВАН2 ->Оф2_ВАН2 (или как вам удобнее)
После объявить эти впн явными интерфейсами ovpnc1 и ovpnc2 и создать из них группу failover .
Далее в правилах fw на ЛАН создать самым первым правило , где в src - lan net, dst - удаленная лок. сеть за клиентом , а gw будет группа впн failover, созданная ранее.

Вар 3
Как вариант 2 до создания группы failover плюс настроить дин. марш-цию с пом. ospf. Можно исп. и Ipsec (tun) Оч. неплохой вариант.

Igor Filth

Огромное спасибо.
Всё понятно, кроме как

объявить впн явными интерфейсами ovpnc1 и ovpnc2

werter

Поднимаете оба впн канала.
Заходите в Assign interfaces и создаете их там.

Igor Filth

Возможно я не там ищу, но не вижу как создать тут ещё интерфейс.
Оба туннеля в данный момент подняты.

Interf.JPG_thumb

pigbrother

Добавляете в верном месте. Непонятно, почему OVPN недоступны.
У меня это выглядит так в 2.3.х (клиент) и 2.2.6 (сервер):

2016-11-05_10-22-24.png_thumb

2016-11-05_10-30-49.png_thumb

werter

@Igor:

Возможно я не там ищу, но не вижу как создать тут ещё интерфейс.
Оба туннеля в данный момент подняты.

Настройки openvpn покажите. И Status -> Interfaces также.

P.s. Или же у вас ipsec подняты ?

Igor Filth

Прошу прощения. ::) Решил, что OpenVPN только в первом варианте.

Тогда буду настраивать по третьему варианту. Пока не знаю, что такое OSPF, но буду разбираться.
Если не получится, то попробую OpenVPN.

Получается, IPSEC в режим транспорт перевести, поверх поднять GRE туннели, а затем настраивать OSPF.

Igor Filth

Добрый вечер!

Решил перейти на Openvpn.
Поднял 2 туннеля pki между офисами оф1ван1-оф2ван1 и оф1ван2-оф2ван2 с настройками точь-в-точь, как в инструкции из этого топика https://forum.pfsense.org/index.php?topic=59081.0

Оба туннеля точно работоспособны, пробовал запускать их по отдельности.

Совместно тоже поднимаются, трафик идёт по одному из них.
Решил попробовать использовать ospf. Настройки ospf взял из инструкции в теме по Openvpn psk (
https://forum.pfsense.org/index.php?topic=58846.0 ). Опять же, скопировал всё в точности, только где RID использовал свой внешний ip wan1 и в disable redistribution подсети провайдера поменял на свои… Но динамическая маршрутизиция не работает.

Куда копать, что сделал не так?

Igor Filth

"После объявить эти впн явными интерфейсами ovpnc1 и ovpnc2 и создать из них группу failover .
Далее в правилах fw на ЛАН создать самым первым правило , где в src - lan net, dst - удаленная лок. сеть за клиентом , а gw будет группа впн failover, созданная ранее."

Этот вариант тоже пробовал.
Но тут вообще странно. После отключения WAN1, у меня вообще перестал работать и инет и связь с центральным офисом.
Но этот вариант для меня менее предпочтительный, чем с ospf.

werter

Доброе.
Версия пф ? Галка в S_ystem: Advanced: Miscellaneous : Load Balancing_ на Enable default gateway switching стоит?

Покажите скрины настроек fw на LAN , openvpn (оба) и явно созданных ovpn-интерфейсах (оба).
А также System: Gateway Groups: Groups

Igor Filth

2.3.2-RELEASE-p1
Галка стоит.

В данный момент я "разрушил" группу openvpn шлюзов. Воссоздал на скринах как было настроено.
Скриншоты правил fw на LAN тоже поправил в фото-редакторе, чтобы показать как оно было настроено, т.к. в данную минуту это правило выключено.

![LAN Rules CLI.JPG](/public/imported_attachments/1/LAN Rules CLI.JPG)
![LAN Rules CLI.JPG_thumb](/public/imported_attachments/1/LAN Rules CLI.JPG_thumb)
![LAN Rules SER.JPG](/public/imported_attachments/1/LAN Rules SER.JPG)
![LAN Rules SER.JPG_thumb](/public/imported_attachments/1/LAN Rules SER.JPG_thumb)

OVPN1-IF.JPG_thumb

OVPN2-IF.JPG_thumb

OVPN-CLI1-1.JPG_thumb

OVPN-CLI1-2.JPG_thumb

OVPN-CLI2-1.JPG_thumb

OVPN-CLI2-2.JPG_thumb

OVPN-GRoup.JPG_thumb

OVPN-SER1-1.JPG_thumb

OVPN-SER1-2.JPG_thumb

OVPN-SER1-CSO.JPG_thumb

OVPN-SER2-1.JPG_thumb

OVPN-SER2-2.JPG_thumb

OVPN-SER2-CSO.JPG_thumb

Igor Filth

И ещё скину настройки OSPF на тот момент, когда пытался настроить динамическую маршрутизацию (в данный момент выключил сервис)

На момент снятия скринов интерфейсы OPENVPN не были объявлены явно

Ifs1-Ospf.JPG_thumb

Ifs2-Ospf.JPG_thumb

Status.JPG_thumb

Igor Filth

Руководство дало мне последние выходные на исправление ситуации с отказоустойчивостью vpn.

В общем, в выходные буду пробовать хоть как-то её организовать.

Если по скринам можно сказать, что именно у меня неверно, то очень прошу подсказать. Если нужно что-то ещё выложить или оформить иначе то, что уже вылжено - пишите.

werter

Доброе
С ospf пока не надо мучаться. Настройте просто с пом. создания отдельн. явных ovpn-интерфейсов.
После объедените их в Группу failover (loadbalance) и исп. ее в правилах fw на LAN.

Igor Filth

Настроил через ospf.
Основная ошибка - то, что были указаны локальная и удалённая подсеть в настройках сервера ovpn. И добавлен маршрут в client specific overrides. Одним словом, вся маршрутизиция должна быть только через ospf.
Также пришлось повозиться с тем, что клиент при падении основного канала не поднимался обратно, выдавая ошибку Unable to contact daemon Service not running?.

Единственное, что пока напрягает - скорость vpn канала не поднимается выше 10мбит/с, через ipsec была в районе 35-40 мбит.
Если кто знает, как ускорить - подскажите, пожалуйста.

werter

Доброе.
Можно скрины настроек ospf ?

Единственное, что пока напрягает - скорость vpn канала не поднимается выше 10мбит/с, через ipsec была в районе 35-40 мбит.
Если кто знает, как ускорить - подскажите, пожалуйста.

1. Исп. только UDP
2. В настр. впн-сервера (-ов) , если тип опенвпн Remotes Access в Адвансед добавить :

sndbuf 100000;
rcvbuf 100000;
push "sndbuf 100000";
push "rcvbuf 100000";

Если тип p2p, то в Адвансед :

sndbuf 100000;
rcvbuf 100000;

И передернуть впн.

pigbrother

А какова загрузка CPU для pf на концах туннеля?

Igor Filth

Скрины приложил, Router ID замазал на всякий.

Добавление 10.0.8.1/32 , 10.0.9.1/32 и т.д. нужно для исправления ошибки "Unable to contact daemon Service not running?. " при подъёме туннеля после появления инета на WANах.
Настройки скринов интерфейсов выкладывать не буду - там просто туннель, метрика и зона. Для интерфейса LAN метрика отсутствует.

sndbuf 100000;
rcvbuf 100000;

попробую добавить на выходных, спасибо.

Камень грузится на 10-20%.

OSPF-CLIENT.JPG_thumb

OSPF-SERVER.JPG_thumb

werter

Доброе.
Спасибо за скрины ospf.

Настройки скринов интерфейсов выкладывать не буду - там просто туннель, метрика и зона. Для интерфейса LAN метрика отсутствует

Все же можно выложить , если не затруднит ?

Router ID замазал на всякий.

Router ID - это внешний ip?