IPSEC и States через два WAN автоматически
-
@vladimirlind Да по стейтам так, висят на втором гейте, там есть галки
Reset all states if WAN IP Address changes
и
Flush all states when a gateway goes downЭто все что нашли относящееся к стейтам, но в нашей ситуации это не тот сценарий при котором они срабатывают при обратном переключении, когда падает основной, судя по всему, по второй настройке срабатывает.
-
@alex82
По второму вопросу , опять же теоретически
Насколько я понимаю , при поднятии основного шлюза , должен запускаться скрипт rc.newwanip. Тогда в него можно добавить строчку , которая бы запускала команду pfctl с ключом -k и адресом хоста , которая бы убивала бы все стейты для этого хоста . -
@Konstanti said in IPSEC и States через два WAN автоматически:
2 Эти 2 туннеля также объединить в отказоустойчивую группу , в которой при падении 1 туннеля трафик бы шел через второй туннель )
Насколько я знаю, reply-to на VTI не работает - есть такая проблема. Поэтому обратный трафик дропнется без маршрутов, скорее всего. Лучше делать с протоколом динамической маршрутизации - ospf, bgp.
Или уж тогда вообще openvpn использовать - там такое работает. -
@vladimirlind Если использовать исходящий НАТ на концах VTI туннелей, то reply-to особо и не нужен будет.
В любом случае , надо пробовать и эксперементировать -
@Konstanti said in IPSEC и States через два WAN автоматически:
В любом случае , надо пробовать и эксперементировать
Коллеги пробовали такой сетап - не работает именно по причине неработающего reply-to. NAT в VPN наверное все-таки предполагается избежать, раз мы удаленные внутренние сети связываем.
-
Спасибо народ :) надо теперь всю эту инфу осмыслить )
-
@vladimirlind
Тут уже была куча тем , связанная именно с этой проблемой . Что в PF поломана функция reply-to на виртуальных интерфейсах ( и на openvpn туннелях , в частности) . Единственным выходом было решение - использование исходящего НАТа , чтобы PF отправлял ответный пакет именно в виртуальный туннель , а не в шлюз по умолчанию . -
Попробуйте поднять на первом пф ДВА OpenVPN сервера.
На втором - два клиента. Затем объявить ЯВНО эти впн-интерфейсы на этом клиенте и создать FAILOVER-группу из них с разными Tier. Далее использовать эту FAILOVER-группу в правилах fw на ЛАН пф-клиента для адреса Астериска.Зы. Как вариант поднять на первом пф ОДИН OpenVPN-сервер на 127.0.0.1 (https://docs.netgate.com/pfsense/en/latest/routing/multi-wan-openvpn.html). И использовать одновременно только ОДИН впн-туннель на клиенте. Второй внешний адрес этого же впн-сервера указать доп. директивой "remote ..." в Адвансед настройках впн на этом же клиенте. Тогда при падение и недоступности 1-го адреса ВПН-сервера клиент будет пытаться поднять линк до 2-го адреса этого же ВПН-сервера.
-
@Konstanti said in IPSEC и States через два WAN автоматически:
@alex82
По второму вопросу , опять же теоретически
Насколько я понимаю , при поднятии основного шлюза , должен запускаться скрипт rc.newwanip. Тогда в него можно добавить строчку , которая бы запускала команду pfctl с ключом -k и адресом хоста , которая бы убивала бы все стейты для этого хоста .А можете подсказать, как правильно это прописать?
Пробовал в etc/rc.newwanip
просто в конец добавлять pfctl -F all (через консоль все работает)
при обработке скрипта выдает ошибку в этой строке, как правильно это туда прописать? -
@alex82 Понятно почему ошибку выдает
это же PHP- скрипт
попробуйте такую строку добавить
exec("pfctl -F all");