Путаются OVPNC в кластере CARP с двумя pfSense, на каждом Multi-WAN F
-
Здравствуйте!
На одном сайте
есть два pfSense в кластере CARP на разном железе
pfSense1 - Primary
pfSense2 - Backup
На этом сайте два провайдера - ISP0, ISP1. Каждый провайдер выдал нам свои подсети для CARP - /29 (5 Public IP). Задействуем по 3 Public IP от каждого.
К каждому pfSense подводится свой UTP5e от каждого провайдера. Всего подключено по два кабеля WAN на каждый pfSense, по одному LAN (один коммутутор) и сами pfSense связаны напрямую для pfSync через отдельные порты. Всего по 4 порта на каждом pfSense задействовано.
Значит, после конфига кластера CARP, настройка Клиентов OpenVPN PSK p2p с указанием в качестве Interface - VIP одного из провайдеров - работает. При такой схеме Клиенты OpenVPN работают только на pfSense1 те, которые на pfSense2 - в down и не мешают. При переключении CARP, Клиенты OpenVPN (инициаторы туннелей OVPN) переподключаются уже с pfSense2 (Backup), причем, почти моментально. Обратно также работает.
Но, теперь вопрос - как мне сделать это для двух провайдеров (Multi-WAN Failover)? Я не могу как-бы задать в Клиенте OpenVPN в качестве Interface - группу Failover из VIP двух провайдеров. Если я задаю, что неправильно изначально, свою GG FoIps0Isp1 в Interface, то на другой стороне - pfSense2 Клиенты OpenVPN, которые должны ожидать в down, начинают также как и pfSense1 инициировать подключение и поэтому, связь постоянно устанавливается/рвется на туннеле.
SNAT тоже не понимаю как сделать, если это правильный ход мысли. Может, там нужно SNAT-тить как-то хитро с этих VIP.Если ли у кого Best Practices такой задачи?
-
Решение нашлось в применении для Interface VIP CARP адреса LAN. В этом случае, механизм работает как с Interface WAN ISP0 VIP CARP, но не зависит от провайдера.
Также, выяснилось, что Dynamic DNS с Gateway Groups работает на VIP CARP, если в настройках Gateway Groups указать Interface = VIP в TierN - это был вопрос к серверу OpenVPN на Multi-WAN.