IPSEC и failover



  • Добрый день.
    Есть офис с pfSense, соединенный через IPSEC с другим офисом, где роутером Kerio Control.
    Соединение описывал тут:
    https://forum.netgate.com/topic/104037/ipsec-site-to-site-между-pfsense-2-3-2-и-kerio-control
    В обоих офисах - и с pfSense и с Kerio Control добавилось по второму IP.
    Возникло естественное желание создать резервный канал.
    Выбор ограничен IPSEC, другого Kerio не умеет, замена Kerio на другое решение невозможна.
    Собственно вопрос - как будет работать IPSEC, ведь Local Subnet и Remote Subnet в Phase2 для обоих туннелей получаются одинаковыми (Phase1, естественно, разные).



  • @pigbrother
    https://docs.netgate.com/pfsense/en/latest/book/multiwan/multi-wan-caveats-and-considerations.html#ipsec

    https://www.reddit.com/r/PFSENSE/comments/4dx9po/ipsec_with_multiwan_failover/

    I've read up and configured the setup in a lab environment where everything worked properly but I wanted to confirm that my configuration is correct before updating settings in my production environment.
    I have 1 site with 2 internet services, each having static IP's. I setup the WAN failover via System > Routing > Groups tab and created a group, WANFailover. I added the WAN and OPT1 interfaces and set Tier1 for WAN and Tier2 for triggered when one goes down.
    For the IPSEC tunnel, I configured DynDNS with FreeDNS and set a domain to resolve to my static IP's. I then changed the interface in my IPSEC Phase 1 to the Gateway Group 'WANFailover' that I created earlier. On the remote side, I set the 'Remote Gateway' to the URL I configured when setting up DynDNS. I tested the connection and everything works.

    https://forum.netgate.com/topic/52963/ipsec-multi-wan-failover

    Зы. Найдено в гугле по фразе "ipsec multiwan failover pfsense"



  • @werter said in IPSEC и failover:

    Зы. Найдено в гугле по фразе "ipsec multiwan failover pfsense"

    За поиск вместо меня в Гугле спасибо. Решение с группой шлюзов и DynDns достаточно очевидно, чтобы до него дошел даже я.

    Наверное, стоило сразу упомянуть, что каждый из IP на каждой из сторон всегда online и не участвует в собственно WAN-Failover\Группах шлюзов, роутинг через них целиком policy based .
    Получается, что мне нужно организовать либо:
    поднятие phase1\phase2 на на второй IP удаленной стороны при падении перового IP (как?)
    Либо держать два туннеля с разными phase1 но одинаковыми phase2, что, собственно, и смущает.

    Безумная идея.
    В настройках phase1 можно в качестве интерфейса выбрать группу шлюзов. Что если таки создать группу c разными tier и указать ее как интерфейс для phase1 на стороне pfSense, выступающего в роли инициатора IPSEC?



  • Добрый.

    Если фраза "Нет, по другому не выйдет. Только создание Группы шлюзов и использование ее в IPSec" подтолкнет к поискам и поможет вам - буду только рад )

    Решение с группой шлюзов и DynDns достаточно очевидно

    Да.


Log in to reply