IPSEC и failover
-
Добрый день.
Есть офис с pfSense, соединенный через IPSEC с другим офисом, где роутером Kerio Control.
Соединение описывал тут:
https://forum.netgate.com/topic/104037/ipsec-site-to-site-%D0%BC%D0%B5%D0%B6%D0%B4%D1%83-pfsense-2-3-2-%D0%B8-kerio-control
В обоих офисах - и с pfSense и с Kerio Control добавилось по второму IP.
Возникло естественное желание создать резервный канал.
Выбор ограничен IPSEC, другого Kerio не умеет, замена Kerio на другое решение невозможна.
Собственно вопрос - как будет работать IPSEC, ведь Local Subnet и Remote Subnet в Phase2 для обоих туннелей получаются одинаковыми (Phase1, естественно, разные). -
@pigbrother
https://docs.netgate.com/pfsense/en/latest/book/multiwan/multi-wan-caveats-and-considerations.html#ipsechttps://www.reddit.com/r/PFSENSE/comments/4dx9po/ipsec_with_multiwan_failover/
I've read up and configured the setup in a lab environment where everything worked properly but I wanted to confirm that my configuration is correct before updating settings in my production environment.
I have 1 site with 2 internet services, each having static IP's. I setup the WAN failover via System > Routing > Groups tab and created a group, WANFailover. I added the WAN and OPT1 interfaces and set Tier1 for WAN and Tier2 for triggered when one goes down.
For the IPSEC tunnel, I configured DynDNS with FreeDNS and set a domain to resolve to my static IP's. I then changed the interface in my IPSEC Phase 1 to the Gateway Group 'WANFailover' that I created earlier. On the remote side, I set the 'Remote Gateway' to the URL I configured when setting up DynDNS. I tested the connection and everything works.https://forum.netgate.com/topic/52963/ipsec-multi-wan-failover
Зы. Найдено в гугле по фразе "ipsec multiwan failover pfsense"
-
@werter said in IPSEC и failover:
Зы. Найдено в гугле по фразе "ipsec multiwan failover pfsense"
За поиск вместо меня в Гугле спасибо. Решение с группой шлюзов и DynDns достаточно очевидно, чтобы до него дошел даже я.
Наверное, стоило сразу упомянуть, что каждый из IP на каждой из сторон всегда online и не участвует в собственно WAN-Failover\Группах шлюзов, роутинг через них целиком policy based .
Получается, что мне нужно организовать либо:
поднятие phase1\phase2 на на второй IP удаленной стороны при падении перового IP (как?)
Либо держать два туннеля с разными phase1 но одинаковыми phase2, что, собственно, и смущает.Безумная идея.
В настройках phase1 можно в качестве интерфейса выбрать группу шлюзов. Что если таки создать группу c разными tier и указать ее как интерфейс для phase1 на стороне pfSense, выступающего в роли инициатора IPSEC? -
Добрый.
Если фраза "Нет, по другому не выйдет. Только создание Группы шлюзов и использование ее в IPSec" подтолкнет к поискам и поможет вам - буду только рад )
Решение с группой шлюзов и DynDns достаточно очевидно
Да.