IPSEC и States через два WAN автоматически

alex82

@vladimirlind Да по стейтам так, висят на втором гейте, там есть галки
Reset all states if WAN IP Address changes
и
Flush all states when a gateway goes down

Это все что нашли относящееся к стейтам, но в нашей ситуации это не тот сценарий при котором они срабатывают при обратном переключении, когда падает основной, судя по всему, по второй настройке срабатывает.

Konstanti

@alex82
По второму вопросу , опять же теоретически
Насколько я понимаю , при поднятии основного шлюза , должен запускаться скрипт rc.newwanip. Тогда в него можно добавить строчку , которая бы запускала команду pfctl с ключом -k и адресом хоста , которая бы убивала бы все стейты для этого хоста .

vladimirlind

@Konstanti said in IPSEC и States через два WAN автоматически:

2 Эти 2 туннеля также объединить в отказоустойчивую группу , в которой при падении 1 туннеля трафик бы шел через второй туннель )

Насколько я знаю, reply-to на VTI не работает - есть такая проблема. Поэтому обратный трафик дропнется без маршрутов, скорее всего. Лучше делать с протоколом динамической маршрутизации - ospf, bgp.
Или уж тогда вообще openvpn использовать - там такое работает.

Konstanti

@vladimirlind Если использовать исходящий НАТ на концах VTI туннелей, то reply-to особо и не нужен будет.
В любом случае , надо пробовать и эксперементировать

vladimirlind

@Konstanti said in IPSEC и States через два WAN автоматически:

В любом случае , надо пробовать и эксперементировать

Коллеги пробовали такой сетап - не работает именно по причине неработающего reply-to. NAT в VPN наверное все-таки предполагается избежать, раз мы удаленные внутренние сети связываем.

alex82

Спасибо народ :) надо теперь всю эту инфу осмыслить )

Konstanti

@vladimirlind
Тут уже была куча тем , связанная именно с этой проблемой . Что в PF поломана функция reply-to на виртуальных интерфейсах ( и на openvpn туннелях , в частности) . Единственным выходом было решение - использование исходящего НАТа , чтобы PF отправлял ответный пакет именно в виртуальный туннель , а не в шлюз по умолчанию .

werter

Попробуйте поднять на первом пф ДВА OpenVPN сервера.
На втором - два клиента. Затем объявить ЯВНО эти впн-интерфейсы на этом клиенте и создать FAILOVER-группу из них с разными Tier. Далее использовать эту FAILOVER-группу в правилах fw на ЛАН пф-клиента для адреса Астериска.

Зы. Как вариант поднять на первом пф ОДИН OpenVPN-сервер на 127.0.0.1 (https://docs.netgate.com/pfsense/en/latest/routing/multi-wan-openvpn.html). И использовать одновременно только ОДИН впн-туннель на клиенте. Второй внешний адрес этого же впн-сервера указать доп. директивой "remote ..." в Адвансед настройках впн на этом же клиенте. Тогда при падение и недоступности 1-го адреса ВПН-сервера клиент будет пытаться поднять линк до 2-го адреса этого же ВПН-сервера.

alex82

@Konstanti said in IPSEC и States через два WAN автоматически:

@alex82
По второму вопросу , опять же теоретически
Насколько я понимаю , при поднятии основного шлюза , должен запускаться скрипт rc.newwanip. Тогда в него можно добавить строчку , которая бы запускала команду pfctl с ключом -k и адресом хоста , которая бы убивала бы все стейты для этого хоста .

А можете подсказать, как правильно это прописать?
Пробовал в etc/rc.newwanip
просто в конец добавлять pfctl -F all (через консоль все работает)
при обработке скрипта выдает ошибку в этой строке, как правильно это туда прописать?

Konstanti

@alex82 Понятно почему ошибку выдает
это же PHP- скрипт
попробуйте такую строку добавить
exec("pfctl -F all");