IPSEC и failover

pigbrother

Добрый день.
Есть офис с pfSense, соединенный через IPSEC с другим офисом, где роутером Kerio Control.
Соединение описывал тут:
https://forum.netgate.com/topic/104037/ipsec-site-to-site-%D0%BC%D0%B5%D0%B6%D0%B4%D1%83-pfsense-2-3-2-%D0%B8-kerio-control
В обоих офисах - и с pfSense и с Kerio Control добавилось по второму IP.
Возникло естественное желание создать резервный канал.
Выбор ограничен IPSEC, другого Kerio не умеет, замена Kerio на другое решение невозможна.
Собственно вопрос - как будет работать IPSEC, ведь Local Subnet и Remote Subnet в Phase2 для обоих туннелей получаются одинаковыми (Phase1, естественно, разные).

werter

@pigbrother
https://docs.netgate.com/pfsense/en/latest/book/multiwan/multi-wan-caveats-and-considerations.html#ipsec

https://www.reddit.com/r/PFSENSE/comments/4dx9po/ipsec_with_multiwan_failover/

I've read up and configured the setup in a lab environment where everything worked properly but I wanted to confirm that my configuration is correct before updating settings in my production environment.
I have 1 site with 2 internet services, each having static IP's. I setup the WAN failover via System > Routing > Groups tab and created a group, WANFailover. I added the WAN and OPT1 interfaces and set Tier1 for WAN and Tier2 for triggered when one goes down.
For the IPSEC tunnel, I configured DynDNS with FreeDNS and set a domain to resolve to my static IP's. I then changed the interface in my IPSEC Phase 1 to the Gateway Group 'WANFailover' that I created earlier. On the remote side, I set the 'Remote Gateway' to the URL I configured when setting up DynDNS. I tested the connection and everything works.

https://forum.netgate.com/topic/52963/ipsec-multi-wan-failover

Зы. Найдено в гугле по фразе "ipsec multiwan failover pfsense"

pigbrother

@werter said in IPSEC и failover:

Зы. Найдено в гугле по фразе "ipsec multiwan failover pfsense"

За поиск вместо меня в Гугле спасибо. Решение с группой шлюзов и DynDns достаточно очевидно, чтобы до него дошел даже я.

Наверное, стоило сразу упомянуть, что каждый из IP на каждой из сторон всегда online и не участвует в собственно WAN-Failover\Группах шлюзов, роутинг через них целиком policy based .
Получается, что мне нужно организовать либо:
поднятие phase1\phase2 на на второй IP удаленной стороны при падении перового IP (как?)
Либо держать два туннеля с разными phase1 но одинаковыми phase2, что, собственно, и смущает.

Безумная идея.
В настройках phase1 можно в качестве интерфейса выбрать группу шлюзов. Что если таки создать группу c разными tier и указать ее как интерфейс для phase1 на стороне pfSense, выступающего в роли инициатора IPSEC?

werter

Добрый.

Если фраза "Нет, по другому не выйдет. Только создание Группы шлюзов и использование ее в IPSec" подтолкнет к поискам и поможет вам - буду только рад )

Решение с группой шлюзов и DynDns достаточно очевидно

Да.