Open VPN Client + Multi WAN в pfSense



  • Здравствуйте!
    Помогите, пожалуйста, следующую задачу как решить, ума не приложу :-[ :-\ :

    1. Нужно от 4 провайдеров организовать балансировку (интернет приходит через Ethernet кабель);
    2. Сейчас на каждом компьютере (windows) пользователей установлена программа OpenVPN которая подключается к VPN серверу (мы арендуем его), для того, чтобы регионально заблокированные ресурсы были доступны. Хочется, чтобы pfSense единожды сам подключился к VPN серверу, и интернет передавался пользователям от этого подключения. т.е. сделать так, чтобы пользователям не нужно было подключаться через OpenVPN.
    3. Вообще, это нужно только для SIP телефонии; Поэтому хочется, чтобы запросы с определенной программы (скажем софтфона M.TALKER) шли через VPN подключение, а все остальные запросы (http, skype) - через простой интернет.

    Извините, скорей всего не очень ясно изложил свой вопрос (я не очень силен в сетях и их наладке);
    Если нужно что-то уточнить, только скажите.
    Хотелось бы подробной инструкции… Или хотя бы ссылок, куда копать :)

    Спасибо, что уделили ваше внимание.



  • К VPN-серверу подключение производится по ключу и сертификату (если это имеет значение).



  • Доброе.
    Нарисуйте схему с адресацией. Так понятнее будет и Вам и всем нам.



  • @werter:

    Доброе.
    Нарисуйте схему с адресацией. Так понятнее будет и Вам и всем нам.



  • 1. Сперва установите впн-канал между пф и удаленным сервером. Добейтесь его работоспособности.

    2. Для того, чтобы в этот туннель уходил только опред. трафик исп. директиву route на клиенте (пф) или на push route (удален. сервер). В верс. 2.3.х можно это сделать просто в веб. фейсе, указав в remote netw необх. адреса\сети через зпт.

    3. Нарисуйте правило fw на LAN пф, разр. прохожд. трафика через ОпенВПН для лок. сети, где в дест. будет указан ип-адр SIP-сервера.
    Поставьте это правило выше всех.

    Не получится - покажите скрины всего, что настроили.



  • @werter:

    1. Сперва установите впн-канал между пф и удаленным сервером. Добейтесь его работоспособности.

    2. Для того, чтобы в этот туннель уходил только опред. трафик исп. директиву route на клиенте (пф) или на push route (удален. сервер). В верс. 2.3.х можно это сделать просто в веб. фейсе, указав в remote netw необх. адреса\сети через зпт.

    3. Нарисуйте правило fw на LAN пф, разр. прохожд. трафика через ОпенВПН для лок. сети, где в дест. будет указан ип-адр SIP-сервера.
    Поставьте это правило выше всех.

    Не получится - покажите скрины всего, что настроили.

    Спасибо за ваши ответы! Как всё сделаю, отпишусь.



  • Делал подобное, правда задача была уже - выпустить Sip-шлюз (1 IP локальной сети) через vpn-канал. Конфигурация не сохранилась.
    Коротко делал так:
    1. Настаиваем OVPN-клиента  на pfSense
    2. Назначаем OVPN интерфейс в Interfaces: Assign
    3. Добавляем NAT для OVPN
    4. Создаем правило на LAN, выше чем Default allow LAN to any rule, в котором порты\адреса SIP (их придется выяснить) выпускаем через шлюз OVPN.

    Описанное работало на 2.1.х-2.2.х
    В  2.2.х появился гибридный NAT,  в  2.1.х приходилось  переводить NAT в manual полностью.



  • werter, pigbrother, вопрос, наверное, глупый, я не совсем полностью понимаю что такое NAT, интерфейс OVPN и VPN, но что-то переживаю: Подключение к удаленному Open VPN будет происходить через сбалансированное подключение 4ех провайдеров или будет использовать только одно подключение (и если да, то какое оно выберет)?

    т.е. Хотелось бы, использовать всю мощь возможностей Multi WAN от pfSense :D
    А может нужно для каждого провайдера создать отдельное OVPN подключение, а потом между ними уже делать Load Balancing?



  • А может нужно для каждого провайдера создать отдельное OVPN подключение, а потом между ними уже делать Load Balancing?

    Не думаю, что вам нужно сразу\вы сможете использовать балансировку OVPN.
    Тем более, что
    я не совсем полностью понимаю что такое NAT, интерфейс OVPN и VPN

    Плюс к этому  работа SIP в режиме балансировки - нетривиальная задача.

    Привяжите для начала OVPN-клиент к одному - любому из ваших каналов и попытайтесь настроить работу SIP только с ним, вне зависимости от того, как pfSense использует ваши каналы для доступа в интернет.



  • @pigbrother:

    Делал подобное, правда задача была уже - выпустить Sip-шлюз (1 IP локальной сети) через vpn-канал. Конфигурация не сохранилась.

    У ТС задача , ээээ, наоборот, что ли.  SIP у него в dest, а не в source.

    Его pf получив маршрут от удален. впн-сервера будет заворачивать трафик, касающийся sip, из своей лок. сети в впн-туннель автоматом.
    И не надо спецом создавать отд. интерфейс под это дело.

    Нужно будет только правило fw на LAN верно нарисовать.



  • Похожую задачу я и решал - выпускал один LAN IP (source) к внешнему SIP (dest) серверу через OVPN-клиента, висящего на одном из WAN. (см. выше).  Задача была проще, т.к у меня был source.

    Нужно будет только правило fw на LAN верно нарисовать.

    Не приведете пример такого правила?

    Мне одним правилом обойтись не удалось. Без дополнительного правила outbound NAT, которое неясно как создать без объявления OVPN интерфейсом - не работало. 
    Было давно, вот похожая ветка\инструкция:
    https://forum.pfsense.org/index.php/topic,29944.0.html



  • @pigbrother:

    Не приведете пример такого правила?

    Помните, что начиная с верс. 2.2.х для доступа к удаленной сети нужно на ЛАН разр. правило создавать явно и ставить его в самый верх ?
    Вот это оно и есть.

    А маршрут уже получен директивой push route от серверн. стороны или назначен локальной route.

    Все же проверять надо однозначно.


Log in to reply