Два провайдера и openvpn клиент
-
@El_Ninio Этого я Вам не готов сказать
Все зависит от того , как все настроено и функционирует -
@El_Ninio said in Два провайдера и openvpn клиент:
cоздано два сервера openvpn для ттк и ртк. Настройка через share key.
@El_Ninio said in Два провайдера и openvpn клиент:
а сервере гл офиса подключено 20 точек.
Точки - это клиенты openvpn?
Не очень понятно, как 2 сервера в режиме share key обслуживают 20 точек. -
@pigbrother нет, вы не правильно поняли. У каждой точки два резервных канала, у каждого канала свой OpenVpn сервер.
-
@Konstanti еще вопрос, а как настроить osfp если у меня внешний адрес динамический? В глобальных настройках какой внешний айпи должен указать??
-
Настроил ospf, пробовал на клиенте отключить основной vpn client, а на сервере запустил netstat -rn и вижу что туннель не переключился на второй остался запись отключенного клиента 192.168.113.0/24 10.0.35.2 UGS ovpns17. Это что получается, когда упадет РТК у клиента, а в офисе пока не выключишь сервер по РТК, то у тебя не переключиться на второй сервер?
-
@El_Ninio said in Два провайдера и openvpn клиент:
@Konstanti еще вопрос, а как настроить osfp если у меня внешний адрес динамический? В глобальных настройках какой внешний айпи должен указать??
В Router ID? Туда можно писать что попало. Вам нужно на обеих сторонах в Interface Settings добавить ваши OpenVPN интерфейсы с разными Metric и интервейсы LAN c галкой Interface is Passive. В настройках OpenVPN клиентов/серверов везде убрать Local/Remote Network(s)
-
@rubic так и сделал. Но почему маршрут не переключает?
-
@El_Ninio убедитесь, что на обоих pfSense в Status > Services FRR ospfd работает. Также посмотрите установили ли роутеры соседство Services > FRR OSPF > Status > OSPF Neighbors есть ли маршруты в локальные сети в Services > FRR OSPF > Status > OSPF Routes
-
@rubic я может не тот пакет установил? Quagga OSPF это же он?
-
@El_Ninio Quagga тоже будет работать, там и меню все такие же, только везде слово 'Quagga' вместо 'FRR'
-
This post is deleted! -
Добрый.
А ведь ospf умеет и non-broadcast :
https://www.nongnu.org/quagga/docs/docs-multi/OSPF-interface.html
Interface Command: ip ospf network (broadcast|non-broadcast|point-to-multipoint|point-to-point)
Interface Command: no ip ospf network
Set explicitly network type for specifed interface.Т.е. можно ospf не только tap или p2p tun в Openvpn пользовать, но и правоверный клиент-серверный вариант?
В настройках OpenVPN клиентов/серверов везде убрать Local/Remote Network(s)
Хм. А если сделать выше описанное, то в Static route на пф (к-ый впн-клиент) можно попробовать указать ранее созданную Группу из впн-интерфейсов как GW и пользовать без всяких ospf ? Типа, все что идет к 192.168.113.0/24 завертывать через выше описанную схему.
-
@werter said in Два провайдера и openvpn клиент:
Добрый.
А ведь ospf умеет и non-broadcast :
https://www.nongnu.org/quagga/docs/docs-multi/OSPF-interface.html
Interface Command: ip ospf network (broadcast|non-broadcast|point-to-multipoint|point-to-point)
Interface Command: no ip ospf network
Set explicitly network type for specifed interface.Т.е. можно ospf не только tap или p2p tun в Openvpn пользовать, но и правоверный клиент-серверный вариант?
Практически что угодно можно использовать, только это несколько теряет смысл в режиме PKI, так как вам все равно придется прописывать клиентские сети в Client Specific Overrides, т.е. OSPF не может сделать за вас то, к чему он предназначен, нужна ручная работа, к сожалению. Тем не менее я лично использую Network type: Point-to-Point для связи с Mikrotik филиалов. Без этого оно не взлетало (может что уже и изменилось), потому и запилил этот Network type в Services > Quagga OSPFd > Edit > Interface Settings
В настройках OpenVPN клиентов/серверов везде убрать Local/Remote Network(s)
Хм. А если сделать выше описанное, то в Static route на пф (к-ый впн-клиент) можно попробовать указать ранее созданную Группу из впн-интерфейсов как GW и пользовать без всяких ospf ? Типа, все что идет к 192.168.113.0/24 завертывать через выше описанную схему.
Думаю, все это можно, но просто OSPF в режиме OpenVPN Shared Key дает столько плюшек и так по сути прост в настройке, что городить интерфейсы, шлюзы и их группы - это просто сложный путь, вообще недолюбливаю policy routing - это по сути костыль
-
@rubic не подскажешь почему не переключается туннель? Переключается когда на стороне сервера ручную отключаешь основной по метрике сервер openvpn.
-
@El_Ninio Так все-таки переключается же? Это вообще несколько искусственная ситуация отключать сервер или клиент (хотя у меня и при отключении клиента переключается), нужен реальный обрыв связи, а не искусственное отключение. Подозреваю, там у вас уже наворочено всего, а инфой вы делитесь как-то скупо. Причин куча может быть
-
Извините за оффтопик.
@rubic Вы упоминали
@rubic said in Два провайдера и openvpn клиент:
связи с Mikrotik филиалов
На pfSense 2 белых IP, соответственно 2 OVPN сервера. Как правильно сделать файловер со стороны филиалов с Микротиками? Стандартно клиент OVPN получает метрику ( Distance в терминологии RourerOS)1.
Прописывать маршрут для каждого клиента OVPN руками с указанием Distance? -
@rubic переключается когда отключаешь на стороне сервера openvpn сервер. Да ничего там не наворочено, просто подключены суммарно 20 точек, 10 на 10 с двумя провайдерами. Файрволе ничего не настроено кроме разрешений all на внешние интерфейсы и OpenVpn серверов. И настроены стат маршруты. Это маршруты sip. А на стороне клиента тоже самое. Два openvpn клиента, файрволе тоже самое. Настроен мультиван tier1 tier2 на vpn интерфейс и по сути все.
-
@pigbrother said in Два провайдера и openvpn клиент:
Извините за оффтопик.
@rubic Вы упоминали
@rubic said in Два провайдера и openvpn клиент:
связи с Mikrotik филиалов
На pfSense 2 белых IP, соответственно 2 OVPN сервера. Как правильно сделать файловер со стороны филиалов с Микротиками? Стандартно клиент OVPN получает метрику ( Distance в терминологии RourerOS)1.
Прописывать маршрут для каждого клиента OVPN руками с указанием Distance?Тоже через OSPF делается. Ставите пакет Quagga OSPFd, идете в Services > Quagga OSPFd > Interface Settings, заводите там интерфейсы OpenVPN серверов и LAN, к которым нужен доступ клиентам:
для разных серверов OpenVPN разные метрики, для LAN-ов поставить 'Interface is Passive' и Network Type: Default
Services > Quagga OSPFd > Global Settings делаете так:
и сохраняете. На Mikrotik в Routing OSPF делаете Instance:
заводите нашу Area:
в Networks помещаете Tunnel Networks OpenVPN и LAN за mikrotik:
теперь в Interfaces должны появиться интерфейсы, но их еще надо отредактировать, для чего в настройках нажимаете Copy:
и делаете так:
теперь в Neighbors должно быть так:
а в Routes так:
здесь 192.168.1.0/24 - LAN за pfSense
в IP > Routes получаем такое:
видно, что 192.168.1.0/24 доступна через ovpn_out1 - там метрика меньше. Если ovpn_out1 ляжет, OSPF уберет этот маршрут и подсунет другой через ovpn_out2
-
@rubic Огромное спасибо за подробный ответ!
-
Добрый.
Выражаю ОГРОМНУЮ благодарность и ТС и тем, кто помогал.
Крайне интересная и важная тема.
