Два провайдера и openvpn клиент

rubic

@El_Ninio Quagga тоже будет работать, там и меню все такие же, только везде слово 'Quagga' вместо 'FRR'

El_Ninio

This post is deleted!

werter

Добрый.

А ведь ospf умеет и non-broadcast :

https://www.nongnu.org/quagga/docs/docs-multi/OSPF-interface.html

Interface Command: ip ospf network (broadcast|non-broadcast|point-to-multipoint|point-to-point)
Interface Command: no ip ospf network
Set explicitly network type for specifed interface.

Т.е. можно ospf не только tap или p2p tun в Openvpn пользовать, но и правоверный клиент-серверный вариант?

@rubic

В настройках OpenVPN клиентов/серверов везде убрать Local/Remote Network(s)

Хм. А если сделать выше описанное, то в Static route на пф (к-ый впн-клиент) можно попробовать указать ранее созданную Группу из впн-интерфейсов как GW и пользовать без всяких ospf ? Типа, все что идет к 192.168.113.0/24 завертывать через выше описанную схему.

rubic

@werter said in Два провайдера и openvpn клиент:

Добрый.

А ведь ospf умеет и non-broadcast :

https://www.nongnu.org/quagga/docs/docs-multi/OSPF-interface.html

Interface Command: ip ospf network (broadcast|non-broadcast|point-to-multipoint|point-to-point)
Interface Command: no ip ospf network
Set explicitly network type for specifed interface.

Т.е. можно ospf не только tap или p2p tun в Openvpn пользовать, но и правоверный клиент-серверный вариант?

Практически что угодно можно использовать, только это несколько теряет смысл в режиме PKI, так как вам все равно придется прописывать клиентские сети в Client Specific Overrides, т.е. OSPF не может сделать за вас то, к чему он предназначен, нужна ручная работа, к сожалению. Тем не менее я лично использую Network type: Point-to-Point для связи с Mikrotik филиалов. Без этого оно не взлетало (может что уже и изменилось), потому и запилил этот Network type в Services > Quagga OSPFd > Edit > Interface Settings

@rubic

В настройках OpenVPN клиентов/серверов везде убрать Local/Remote Network(s)

Хм. А если сделать выше описанное, то в Static route на пф (к-ый впн-клиент) можно попробовать указать ранее созданную Группу из впн-интерфейсов как GW и пользовать без всяких ospf ? Типа, все что идет к 192.168.113.0/24 завертывать через выше описанную схему.

Думаю, все это можно, но просто OSPF в режиме OpenVPN Shared Key дает столько плюшек и так по сути прост в настройке, что городить интерфейсы, шлюзы и их группы - это просто сложный путь, вообще недолюбливаю policy routing - это по сути костыль

El_Ninio

@rubic не подскажешь почему не переключается туннель? Переключается когда на стороне сервера ручную отключаешь основной по метрике сервер openvpn.

rubic

@El_Ninio Так все-таки переключается же? Это вообще несколько искусственная ситуация отключать сервер или клиент (хотя у меня и при отключении клиента переключается), нужен реальный обрыв связи, а не искусственное отключение. Подозреваю, там у вас уже наворочено всего, а инфой вы делитесь как-то скупо. Причин куча может быть

pigbrother

Извините за оффтопик.

@rubic Вы упоминали

@rubic said in Два провайдера и openvpn клиент:

связи с Mikrotik филиалов

На pfSense 2 белых IP, соответственно 2 OVPN сервера. Как правильно сделать файловер со стороны филиалов с Микротиками? Стандартно клиент OVPN получает метрику ( Distance в терминологии RourerOS)1.
Прописывать маршрут для каждого клиента OVPN руками с указанием Distance?

El_Ninio

@rubic переключается когда отключаешь на стороне сервера openvpn сервер. Да ничего там не наворочено, просто подключены суммарно 20 точек, 10 на 10 с двумя провайдерами. Файрволе ничего не настроено кроме разрешений all на внешние интерфейсы и OpenVpn серверов. И настроены стат маршруты. Это маршруты sip. А на стороне клиента тоже самое. Два openvpn клиента, файрволе тоже самое. Настроен мультиван tier1 tier2 на vpn интерфейс и по сути все.

rubic

@pigbrother said in Два провайдера и openvpn клиент:

Извините за оффтопик.

@rubic Вы упоминали

@rubic said in Два провайдера и openvpn клиент:

связи с Mikrotik филиалов

На pfSense 2 белых IP, соответственно 2 OVPN сервера. Как правильно сделать файловер со стороны филиалов с Микротиками? Стандартно клиент OVPN получает метрику ( Distance в терминологии RourerOS)1.
Прописывать маршрут для каждого клиента OVPN руками с указанием Distance?

Тоже через OSPF делается. Ставите пакет Quagga OSPFd, идете в Services > Quagga OSPFd > Interface Settings, заводите там интерфейсы OpenVPN серверов и LAN, к которым нужен доступ клиентам:

для разных серверов OpenVPN разные метрики, для LAN-ов поставить 'Interface is Passive' и Network Type: Default
Services > Quagga OSPFd > Global Settings делаете так:

и сохраняете. На Mikrotik в Routing OSPF делаете Instance:

заводите нашу Area:

в Networks помещаете Tunnel Networks OpenVPN и LAN за mikrotik:

теперь в Interfaces должны появиться интерфейсы, но их еще надо отредактировать, для чего в настройках нажимаете Copy:

и делаете так:

теперь в Neighbors должно быть так:

а в Routes так:

здесь 192.168.1.0/24 - LAN за pfSense

в IP > Routes получаем такое:

видно, что 192.168.1.0/24 доступна через ovpn_out1 - там метрика меньше. Если ovpn_out1 ляжет, OSPF уберет этот маршрут и подсунет другой через ovpn_out2

pigbrother

@rubic Огромное спасибо за подробный ответ!

werter

Добрый.

Выражаю ОГРОМНУЮ благодарность и ТС и тем, кто помогал.
Крайне интересная и важная тема.

rubic

Спасибо за спасибо, кто будет делать - обращайтесь. Сразу скажу, с FRR это не взлетает - не инсталлируется маршрут на Mikrotik в IP > Routes, разбираться некогда. Также на pfSense в настройках OpenVPN удаляйте все в Local/Remote Network(s) - рулить маршрутизацией будет OSPFd, но! сети за Mikrotik должны быть в Client Specific Overrides обязательно, потому что Mikrotik - он такой, не поддерживаете PSK в OpenVPN, а в PKI Client Specific Overrides необходимы

pigbrother

@rubic Что должно быть в Router ID в Global Settings?
Specify the Router ID. RID is the highest logical (loopback) IP address configured on a router.
Там ссылка на Википедию, но она мало что объясняет:
If two or more routers tie with the highest priority setting, the router sending the Hello with the highest RID (Router ID) wins. NOTE: a RID is the highest logical (loopback) IP address configured on a router, if no logical/loopback IP address is set then the router uses the highest IP address configured on its active interfaces (e.g. 192.168.0.1 would be higher than 10.1.1.2).

rubic

@pigbrother Все, что хотите, в формате IP адреса. Для наших целей не имеет значения, лишь бы были уникальны в сети, т.е. адрес WAN вполне подойдет

El_Ninio

This post is deleted!

rubic

@El_Ninio said in Два провайдера и openvpn клиент:

@rubic короче замучился, переключает сейчас не надолго.

Попробуйте в Services > Quagga OSPFd > Interface Settings для каждого интерфейса установить галку Accept filter, как на серверном, так и на клиентском pfSense

El_Ninio

@rubic все равно отваливается маршрут.

rubic

@El_Ninio вот строчка, которой не должно быть:

у вас клиентская WAN подсеть залезла в туннель

покажите Services > Quagga OSPFd > Global Settings сервера и клиента, а также Services > Quagga OSPFd > Interface Settings тоже с обоих сторон

El_Ninio

This post is deleted!

El_Ninio

This post is deleted!