Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPsec + MultiWAN + ddns

    Scheduled Pinned Locked Moved Russian
    4 Posts 3 Posters 975 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • N Offline
      nuihuase
      last edited by

      Добрый день.
      Появилась надобность в автоматическом переключении IPsec туннеля на другой WAN для обеспечения бесперебойности.
      Строго IPsec, таковы требования.
      Что было опробовано?
      Группа шлюзов - DynGW(WAN1(Tier1)+WAN2(Tier2)) в phase 1 Ipsec в качестве интерфейса.
      My Identifier - Distinguished name - dyn.test.ru (запись на динамическом днс сервере)
      С этим мне все понятно.
      Вопрос по DDNS сервису pfsense.
      Мониторим DynGW, обновляем с DynGW - на случай падения WAN1 обновляет запись под IP WAN2, но в обратную сторону не возвращает. Если моя логика мне не изменяет, то DynGW считается все равно поднятым при восстановлении WAN1(ведь WAN2 не падал).
      Кто в курсе каким образом мониторится интерфейс(пинги до шлюза? - не похоже. Выдергивал провод из свитча(между провайдером и pfsense), интерфейс поднят, а шлюз не доступен))
      Какие варианты еще могут быть для IPsec?
      Благодарю.

      1 Reply Last reply Reply Quote 0
      • werterW Offline
        werter
        last edited by

        Доброе.
        Схема с адресацией. Лучше один раз увидеть.

        P.s.

        Появилась надобность в автоматическом переключении IPsec туннеля на другой WAN для обеспечения бесперебойности.

        А если поднять два туннеля одновременно и исп. ospf ? Или (если это возможно) создать 2 явных ipsec-интерфейса, создать из них группу инт-сов и исп. в правилах fw на ЛАН для доступа в удаленную сеть (с опенвпн такое получалось) ?

        1 Reply Last reply Reply Quote 0
        • N Offline
          nuihuase
          last edited by

          Насколько я знаю, явных интерфейсов ipsec pfSense создать не даст…Так бы конечно многое упростилось...
          2 туннеля поднимал, но без ospf, ведет себя по разному, то может видеть удалённую подсеть, то не видеть - попробую спасибо.

          1 Reply Last reply Reply Quote 0
          • P Offline
            pigbrother
            last edited by

            @werter:

            Доброе.
            Схема с адресацией. Лучше один раз увидеть.

            P.s.

            Появилась надобность в автоматическом переключении IPsec туннеля на другой WAN для обеспечения бесперебойности.

            А если поднять два туннеля одновременно и исп. ospf ? Или (если это возможно) создать 2 явных ipsec-интерфейса, создать из них группу инт-сов и исп. в правилах fw на ЛАН для доступа в удаленную сеть (с опенвпн такое получалось) ?

            Да, IPsec невозможно добавить в интерфейсы. Поэтому невозможно ни добавить NAT через IPsec, ни добавить маршрут, доступный через IPsec в OVPN и т.д.
            Был бы рад, если кто-то подскажет, как это сделать.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.