Путаются OVPNC в кластере CARP с двумя pfSense, на каждом Multi-WAN F



  • Здравствуйте!
    На одном сайте
    есть два pfSense в кластере CARP на разном железе
    pfSense1 - Primary
    pfSense2 - Backup
    На этом сайте два провайдера - ISP0, ISP1. Каждый провайдер выдал нам свои подсети для CARP - /29 (5 Public IP). Задействуем по 3 Public IP от каждого.
    К каждому pfSense подводится свой UTP5e от каждого провайдера. Всего подключено по два кабеля WAN на каждый pfSense, по одному LAN (один коммутутор) и сами pfSense связаны напрямую для pfSync через отдельные порты. Всего по 4 порта на каждом pfSense задействовано.
    Значит, после конфига кластера CARP, настройка Клиентов OpenVPN PSK p2p с указанием в качестве Interface - VIP одного из провайдеров - работает. При такой схеме Клиенты OpenVPN работают только на pfSense1  те, которые на pfSense2 - в down и не мешают. При переключении CARP, Клиенты OpenVPN (инициаторы туннелей OVPN) переподключаются уже с pfSense2 (Backup), причем, почти моментально. Обратно также работает.
    Но, теперь вопрос - как мне сделать это для двух провайдеров (Multi-WAN Failover)? Я не могу как-бы задать в Клиенте OpenVPN в качестве Interface - группу Failover из VIP двух провайдеров. Если я задаю, что неправильно изначально, свою GG FoIps0Isp1 в Interface, то на другой стороне - pfSense2 Клиенты OpenVPN, которые должны ожидать в down, начинают также как и pfSense1 инициировать подключение и поэтому, связь постоянно устанавливается/рвется на туннеле.
    SNAT тоже не понимаю как сделать, если это правильный ход мысли. Может, там нужно SNAT-тить как-то хитро с этих VIP.

    Если ли у кого Best Practices такой задачи?



  • Решение нашлось в применении для Interface VIP CARP адреса LAN. В этом случае, механизм работает как с Interface WAN ISP0 VIP CARP, но не зависит от провайдера.
    Также, выяснилось, что Dynamic DNS с Gateway Groups работает на VIP CARP, если в настройках Gateway Groups указать Interface = VIP в TierN - это был вопрос к серверу OpenVPN на Multi-WAN.


Log in to reply