Смена шлюза по таймеру в MultiWAN в 2.4.5

PTZ-M

Начало тут - https://forum.netgate.com/post/979460
Всем спасибо за отзывы в той ветке. Насчёт прослушки OpenVPN на localhost пошаманю.

Но вот сегодня опять дёрнулось. Судя по всему стоит какой-то тайм-аут в настройках шлюзов. Похоже, что каждые 7 дней он переключает дефолтный шлюз с WAN 1 на WAN2 и наоборот. Причём шаг времени сдвигается, раньше в 9 утра, теперь уже почти в 10 (смутно-о помниться был в pfSense баг, из-за дохлой батарейки на системной плате).

Провайдер тут явно не при делах. Куда копать? Вес шлюза?

pigbrother

В System-Routing-Gateways
Что выбрано? Конкретный шлюз или Automatic?

PTZ-M

@pigbrother группа

werter

Добрый
@ptz-m
У меня таких проблем не было.
И для модема лучше tier 2 пользовать. Если вы его для failover решили. Это классическая схема (есть в доках).

Зы. Попробуйте перейти на 2.5.1, если wg не пользуете.
Зы2. И это. Английский для пф родной. Русский в вебке - как пятая нога для ушастого грызуна.

PTZ-M

Ок, ситуация рандомно повторяется - системность выявить не удалось. Но с систематическим отвалом ранее помог отзыв в другой теме - https://forum.netgate.com/topic/133889/openvpn-sometimes-stops-working-with-cipher_ctx_update-evp_cipherupdate-failed/12?_=1638342582211

Теперь оффтоп.

В сообщении https://forum.netgate.com/topic/161065/%D0%B2%D0%BE%D0%BF%D1%80%D0%BE%D1%81%D1%8B-%D0%BF%D0%BE-pfsense-2-5-plus/44?_=1638342466301 было про MultiWAN для OpenVPN, как вариант отсеять возможный баг с WAN. Нашёл оригинал статьи https://docs.netgate.com/pfsense/en/latest/multiwan/openvpn.html И тут встал затык по этой инструкции - поле для указания адреса недоступно! В "Назначение" я могу выбрать поле "Этот файервол" - это аналогично?

werter

@ptz-m
Что у вас за скрин? Это Фаер или Порт форвард?
Решили localhost для овпн пользовать - пользуйте. Если это скрин фаера, то точно не про это.
Там порт форвард надо делать на localhost с ОБОИХ ВАНов . И сам овпн повесить на локалхост в его настройках.

Зы. Снова русский в вебке ( Имейте совесть.

PTZ-M

@werter гм, ну вообще-то да, файер - правила - ван 1, нафига там NAT юзать? По правилам безопасности OpenVPN, дырку для него делать нельзя сразу?

werter

@ptz-m
Мил человек, почитайте еще раз оф. доку как заставить овпн работать на локалхосте при мультиване https://docs.netgate.com/pfsense/en/latest/multiwan/openvpn.html#bind-to-localhost-and-setup-port-forwards

PTZ-M

@werter про порт форвардин и чуть выше написано, это и вызывает недоумение. По моему в мануале ошибка. Прописывать для ван-ов надо именно в файере и выбирать "Этот файервол" - так логичнее. Безопасность вроде как, тут в обоих вариантах не страдает?..

werter

@ptz-m

и выбирать "Этот файервол" - так логичнее.

https://forum.netgate.com/topic/117527/this-firewall-self-what-does-it-do

"This Firewall (self)" does what it says – It's every address on the firewall already. It's a pf macro that refers to the firewall host and any address it has, collectively.

Зы. Откажитесь от рус. в вебке. Чем раньше, тем лучше. Тяжело вам в it далее будет, поверьте.

PTZ-M

@werter said in Смена шлюза по таймеру в MultiWAN в 2.4.5:

"This Firewall (self)" does what it says – It's every address on the firewall already. It's a pf macro that refers to the firewall host and any address it has, collectively.

Оу! Мда-а, тонкий английский юмор... Вопрос снят, будем юзать сложный путь через нат на 127.0.0.1 (рука-лицо).

werter

@ptz-m
Нет там юмора. Все логично.
Службы даже в Вин могут "висеть" как на внутренних (+ localhost), так и на внешних IP.
И отдельно и одновременно.
Локалхост-ом может любой адрес из 127.0.0.0/8

PTZ-M

Странно, фокус не удался. То ли я после праздников жутко туплю, то ли лыжи не едут. Но создал правило через NAT и не взлетело.