Два провайдера и openvpn клиент
-
@El_Ninio
Попробовать ЯВНО объявить впн-интерфейсы. После собрать из них Группу. Пользовать эту Группу в правилах fw на ЛАН для доступа в удаленную ЛАН. В этих правиле (-ах) в Dst явно указать удаленную ЛАН. Поставить эти(-о) правила(-о) выше всех. -
Вопрос еще актуален. Не могу настроить впн. Сейчас явно объявил два openvpn интерфейса. Сделал multiwan именно опенвпн интерфейсов. Вроде бы переключает. Но когда переключает на второй, из компьютера пинг не проходит на удаленную сеть. А с самого pfsense проходит. Пробовал стат маршрут прописать. Указываю удаленную сеть 192.168.1.0/24, интерфейс выбираю второй openvpn интрефейс. Трассировка с компа тоже не идет. Доходит до роутера и все.
-
@El_Ninio Вы уже куда-то на туда заехали и путаетесь все больше. Достаточно каждого клиента привязать к своему интерфейсу и все. Дальнейшее зависит от настроек сервера. Что у вас на сервере в Server mode? Вообще неплохо было бы увидеть как настройки сервера, так и клиентов
-
@rubic создано два сервера openvpn для ттк и ртк. Настройка через share key.
Первом сервера интерфейс ттк порт 1196, туннель 10.0.35.0/30 удаленная сеть 192.168.113.1/24 остальные настройки все по умолчанию. Второй сервер настроен аналогично, интерфейс ртк порт 1197 туннель 10.0.36.0/30 удаленная сеть 192.168.113.1/24. Файрволе Openvpn разрешил все. А на стороне клиента тоже так же создаю клиенты. Указываю внешние адреса ттк и ртк головного офиса, порты, пароль. Коннект есть, клиент получил адрес туннеля динамически, т.е 10.0.35.2 и 10.0.36.2 соответственно. На клиенте РТК и Бридж телеком. Соединяю ртк на ртк а бридж на ттк. Ну вроде бы все. Ртк работает. С локального компьютера клиента удаленная сеть видна расшаренные папки и прочее. Для проверки в головном офисе отключаю сервер openvpn РТК. Клиент переключился на бридж и теперь должна была работать openvpn бридж-ттк. Туннель есть. А локального компа не видится шары и пинг не проходит на удаленную сеть. -
В логах сервера вижу вот такую ошибку ERROR: FreeBSD route delete command failed: external program exited with error status: 1. И заметил еще, когда на стороне сервера перезапуск делаю именно этого OpenVpn сервера на ттк. То с локального компьютера клиента начинают ходить пинги и шары открываются. Но это длиться не надолго. Мин 3-4 максимум. При перезапуске похоже создается динамический маршрут, и потом через некоторое время походу удаляется.
-
@El_Ninio Предполагаю, так оно работать не будет. Там же роуты вставляются прямо в таблицу, а у вас 2 клиента и одна удаленная сеть. pfSense не может иметь два маршрута в одну сеть. Вам надо настроить OSPF и не указывать в настройках Local/Remote Network(s)
-
@rubic почему не должно работать? Допустим у клиента упал РТК, pfsense переключает на резервный канал Бриджтелеком. Потом впн по РТК он же не будет использоваться если нет инета РТК. Pfsense должен же понимать это, или он будет долбиться offline vpn от РТК через шлюз Бриджтелеком?
-
@El_Ninio said in Два провайдера и openvpn клиент:
@rubic почему не должно работать?
Я написал почему, 2 клиента OpenVPN пытаются вставить в таблицу маршрутизации один и тот же маршрут 192.168.113.1/24 (кстати, почему .1/24?), а это невозможно. В удаленную сеть в итоге будет один маршрут, например через РТК, а когда РТК упадет, маршрут через ТТК сам не появится.
-
@rubic Если даже отключить РТК клиент, все равно не работает. При отключении остается же один клиент бридж на ттк. Где прописана удаленная сеть 192.168.1.0/24. Это на стороне клиента. Если со стороны сервера тоже делать disable РТК сервера откуда он знает что уже существует маршрут 192.168.113.0/24. Если оба сервера были бы включены. То возможно да, конфликт был бы. У обоих серверов одна и та же удаленная сеть.
-
Как вообще настроить такую схему? Хотелось бы впн не отвалилось, при переключении на другой канал. Чтобы при падении одного из каналов, работала впнка.
-
Вообщем, пробовал отключить на клиенте openvpn через РТК оставив только openvpn по Бриджтелекому. И пробовал с pfsense клиента, пропинговать комп в локальной сети гл офиса, пинг проходит. Подключаюсь на клиенте через тимвивер пингую тот же комп или любой пинга нет. И со стороны сервера тоже такая же картина. С pfsense гл офиса пингую удаленный компьютер клиента. Тоже пинг есть. А с своего компьютера из подсети 192.168.1.0/24(локальная подсеть офиса) пингую удаленную сеть 192.168.113.0/24(ЛВС клиента), а пинга нет. Файрвол не пускает или что? Не могу понять. А когда обратно включаю OpenVpn через ртк на клиенте, то все гуд. Шары видны пинг проходит.
-
@El_Ninio
Здр
Почему не хотите OSPF запустить , для Вашего случая , это очень здравая мысль -
@Konstanti а как это сделать? Можете подсказать)) Как конфигурировать? Это на клиенте настраивается или на сервере?
-
@El_Ninio
https://www.youtube.com/watch?v=4IlKcB17rWk -
@Konstanti ок, спс!
-
@Konstanti если поставлю этот пакет на сервере и на клиенте то не будет ли все это дело влиять на других клиентов, айпи телефонии и прочих. Потому что на сервере гл офиса подключено 20 точек.
-
@El_Ninio Этого я Вам не готов сказать
Все зависит от того , как все настроено и функционирует -
@El_Ninio said in Два провайдера и openvpn клиент:
cоздано два сервера openvpn для ттк и ртк. Настройка через share key.
@El_Ninio said in Два провайдера и openvpn клиент:
а сервере гл офиса подключено 20 точек.
Точки - это клиенты openvpn?
Не очень понятно, как 2 сервера в режиме share key обслуживают 20 точек. -
@pigbrother нет, вы не правильно поняли. У каждой точки два резервных канала, у каждого канала свой OpenVpn сервер.
-
@Konstanti еще вопрос, а как настроить osfp если у меня внешний адрес динамический? В глобальных настройках какой внешний айпи должен указать??
-
Настроил ospf, пробовал на клиенте отключить основной vpn client, а на сервере запустил netstat -rn и вижу что туннель не переключился на второй остался запись отключенного клиента 192.168.113.0/24 10.0.35.2 UGS ovpns17. Это что получается, когда упадет РТК у клиента, а в офисе пока не выключишь сервер по РТК, то у тебя не переключиться на второй сервер?
-
@El_Ninio said in Два провайдера и openvpn клиент:
@Konstanti еще вопрос, а как настроить osfp если у меня внешний адрес динамический? В глобальных настройках какой внешний айпи должен указать??
В Router ID? Туда можно писать что попало. Вам нужно на обеих сторонах в Interface Settings добавить ваши OpenVPN интерфейсы с разными Metric и интервейсы LAN c галкой Interface is Passive. В настройках OpenVPN клиентов/серверов везде убрать Local/Remote Network(s)
-
@rubic так и сделал. Но почему маршрут не переключает?
-
@El_Ninio убедитесь, что на обоих pfSense в Status > Services FRR ospfd работает. Также посмотрите установили ли роутеры соседство Services > FRR OSPF > Status > OSPF Neighbors есть ли маршруты в локальные сети в Services > FRR OSPF > Status > OSPF Routes
-
@rubic я может не тот пакет установил? Quagga OSPF это же он?
-
@El_Ninio Quagga тоже будет работать, там и меню все такие же, только везде слово 'Quagga' вместо 'FRR'
-
This post is deleted! -
Добрый.
А ведь ospf умеет и non-broadcast :
https://www.nongnu.org/quagga/docs/docs-multi/OSPF-interface.html
Interface Command: ip ospf network (broadcast|non-broadcast|point-to-multipoint|point-to-point)
Interface Command: no ip ospf network
Set explicitly network type for specifed interface.Т.е. можно ospf не только tap или p2p tun в Openvpn пользовать, но и правоверный клиент-серверный вариант?
В настройках OpenVPN клиентов/серверов везде убрать Local/Remote Network(s)
Хм. А если сделать выше описанное, то в Static route на пф (к-ый впн-клиент) можно попробовать указать ранее созданную Группу из впн-интерфейсов как GW и пользовать без всяких ospf ? Типа, все что идет к 192.168.113.0/24 завертывать через выше описанную схему.
-
@werter said in Два провайдера и openvpn клиент:
Добрый.
А ведь ospf умеет и non-broadcast :
https://www.nongnu.org/quagga/docs/docs-multi/OSPF-interface.html
Interface Command: ip ospf network (broadcast|non-broadcast|point-to-multipoint|point-to-point)
Interface Command: no ip ospf network
Set explicitly network type for specifed interface.Т.е. можно ospf не только tap или p2p tun в Openvpn пользовать, но и правоверный клиент-серверный вариант?
Практически что угодно можно использовать, только это несколько теряет смысл в режиме PKI, так как вам все равно придется прописывать клиентские сети в Client Specific Overrides, т.е. OSPF не может сделать за вас то, к чему он предназначен, нужна ручная работа, к сожалению. Тем не менее я лично использую Network type: Point-to-Point для связи с Mikrotik филиалов. Без этого оно не взлетало (может что уже и изменилось), потому и запилил этот Network type в Services > Quagga OSPFd > Edit > Interface Settings
В настройках OpenVPN клиентов/серверов везде убрать Local/Remote Network(s)
Хм. А если сделать выше описанное, то в Static route на пф (к-ый впн-клиент) можно попробовать указать ранее созданную Группу из впн-интерфейсов как GW и пользовать без всяких ospf ? Типа, все что идет к 192.168.113.0/24 завертывать через выше описанную схему.
Думаю, все это можно, но просто OSPF в режиме OpenVPN Shared Key дает столько плюшек и так по сути прост в настройке, что городить интерфейсы, шлюзы и их группы - это просто сложный путь, вообще недолюбливаю policy routing - это по сути костыль
-
@rubic не подскажешь почему не переключается туннель? Переключается когда на стороне сервера ручную отключаешь основной по метрике сервер openvpn.
-
@El_Ninio Так все-таки переключается же? Это вообще несколько искусственная ситуация отключать сервер или клиент (хотя у меня и при отключении клиента переключается), нужен реальный обрыв связи, а не искусственное отключение. Подозреваю, там у вас уже наворочено всего, а инфой вы делитесь как-то скупо. Причин куча может быть
-
Извините за оффтопик.
@rubic Вы упоминали
@rubic said in Два провайдера и openvpn клиент:
связи с Mikrotik филиалов
На pfSense 2 белых IP, соответственно 2 OVPN сервера. Как правильно сделать файловер со стороны филиалов с Микротиками? Стандартно клиент OVPN получает метрику ( Distance в терминологии RourerOS)1.
Прописывать маршрут для каждого клиента OVPN руками с указанием Distance? -
@rubic переключается когда отключаешь на стороне сервера openvpn сервер. Да ничего там не наворочено, просто подключены суммарно 20 точек, 10 на 10 с двумя провайдерами. Файрволе ничего не настроено кроме разрешений all на внешние интерфейсы и OpenVpn серверов. И настроены стат маршруты. Это маршруты sip. А на стороне клиента тоже самое. Два openvpn клиента, файрволе тоже самое. Настроен мультиван tier1 tier2 на vpn интерфейс и по сути все.
-
@pigbrother said in Два провайдера и openvpn клиент:
Извините за оффтопик.
@rubic Вы упоминали
@rubic said in Два провайдера и openvpn клиент:
связи с Mikrotik филиалов
На pfSense 2 белых IP, соответственно 2 OVPN сервера. Как правильно сделать файловер со стороны филиалов с Микротиками? Стандартно клиент OVPN получает метрику ( Distance в терминологии RourerOS)1.
Прописывать маршрут для каждого клиента OVPN руками с указанием Distance?Тоже через OSPF делается. Ставите пакет Quagga OSPFd, идете в Services > Quagga OSPFd > Interface Settings, заводите там интерфейсы OpenVPN серверов и LAN, к которым нужен доступ клиентам:
для разных серверов OpenVPN разные метрики, для LAN-ов поставить 'Interface is Passive' и Network Type: Default
Services > Quagga OSPFd > Global Settings делаете так:и сохраняете. На Mikrotik в Routing OSPF делаете Instance:
заводите нашу Area:
в Networks помещаете Tunnel Networks OpenVPN и LAN за mikrotik:
теперь в Interfaces должны появиться интерфейсы, но их еще надо отредактировать, для чего в настройках нажимаете Copy:
и делаете так:
теперь в Neighbors должно быть так:
а в Routes так:
здесь 192.168.1.0/24 - LAN за pfSense
в IP > Routes получаем такое:
видно, что 192.168.1.0/24 доступна через ovpn_out1 - там метрика меньше. Если ovpn_out1 ляжет, OSPF уберет этот маршрут и подсунет другой через ovpn_out2
-
@rubic Огромное спасибо за подробный ответ!
-
Добрый.
Выражаю ОГРОМНУЮ благодарность и ТС и тем, кто помогал.
Крайне интересная и важная тема. -
Спасибо за спасибо, кто будет делать - обращайтесь. Сразу скажу, с FRR это не взлетает - не инсталлируется маршрут на Mikrotik в IP > Routes, разбираться некогда. Также на pfSense в настройках OpenVPN удаляйте все в Local/Remote Network(s) - рулить маршрутизацией будет OSPFd, но! сети за Mikrotik должны быть в Client Specific Overrides обязательно, потому что Mikrotik - он такой, не поддерживаете PSK в OpenVPN, а в PKI Client Specific Overrides необходимы
-
@rubic Что должно быть в Router ID в Global Settings?
Specify the Router ID. RID is the highest logical (loopback) IP address configured on a router.
Там ссылка на Википедию, но она мало что объясняет:
If two or more routers tie with the highest priority setting, the router sending the Hello with the highest RID (Router ID) wins. NOTE: a RID is the highest logical (loopback) IP address configured on a router, if no logical/loopback IP address is set then the router uses the highest IP address configured on its active interfaces (e.g. 192.168.0.1 would be higher than 10.1.1.2). -
@pigbrother Все, что хотите, в формате IP адреса. Для наших целей не имеет значения, лишь бы были уникальны в сети, т.е. адрес WAN вполне подойдет
-
This post is deleted!