проблемы с SIP + states в pf
-
Ситуация такая.
Есть border router (всё на pfsense 2.1), который принимает 2 WAN канала(failover режим), и добрый десяток OpenVPN.
По OpenVPN подключены удалённые оффисы, в них установлены sip-телефоны.Проблема такая…
При падении основного WAN канала отваливается OpenVPN от филиала. В этот момент происходит логичное событие - pfSense отправляет пакеты предназначенные для филиальной сети - в свой основной шлюз, создавая в фаерволе states.
Потом канал восстанавливается, OpenVPN подключается - но sip аппараты не хотят коннектиться, потому что астериск в главном оффисе им отвечает, но этот траффик по states уходит и дальше - в WAN порт.....
Чистим States - всё регистрируется моментально.В настройках маршрутера есть такой пункт State Killing on Gateway Failure - это работает весьма странно, у меня несколько Vlan, и если падает WAN канал - у меня резетится ВЕСЬ фаервол, обрубая ВСЕ соединения через него.
Посоветуйте как дальше жить. Будучи сисадмином я конечно могу нарисовать sh-скрипт в крон для мониторинга удалённой подсети и резета фаервола. Есть идея прописать static route - не самая лучшая идея, поскольку каждый филиал имеет резервный OpenVPN до главного маршрутера с настроенным OPSF.
Вся эта перспектива меня удручает, не хочу кастомных решений. Есть "промышленные" решения?