Два провайдера и openvpn клиент
-
Имеется шлюз с двумя провайдерами РТК и ТТК. Основной канал РТК. На шлюзе настроен openvpn client и на РТК, и на второй канал ТТК. Работает только один клиент т.е РТК, а второй клиент стоит в состоянии pending. А если смотреть стороне сервера, то там все горит зеленым. Как будто второй клиент тоже подключен. А на клиенте состояние второго клиента стоит pending. Дело скорее в маршрутизации? Как настроить чтобы оба openvpn клиента работали
-
На втором опенвпн клиенте выбран интерфейс ТТК?
-
Да.
-
@El_Ninio Настроен ли policy-routing?
Чтобы на для второго соединения использовался шлюз ТТК
Вроде такого:
-
Нет, попробую сейчас.
-
@El_Ninio said in Два провайдера и openvpn клиент:
ТТК
Вы покапчите трафик на интерфейсе ТТК и на интерфейсе ван опенвпнсервера, отфильтровав по порту, по которому настроен опенвпн для ТТК. Diag> Traffic Capture.
Надо убедиться, что трафик опенвпн от клиента покидает ТТК и приходит на соответствующий ВАН опенвпн сервера. Если трафик доходит до сервера - смотрите правила фаервола на ВАН сервера.
-
Это на клиенте. Все горит зеленым. При отключении ртк через multiwan переключается на второй канал интернет есть но впн нету.
-
@viktor_g не нашел где это настраивается
-
@El_Ninio
Попробовать ЯВНО объявить впн-интерфейсы. После собрать из них Группу. Пользовать эту Группу в правилах fw на ЛАН для доступа в удаленную ЛАН. В этих правиле (-ах) в Dst явно указать удаленную ЛАН. Поставить эти(-о) правила(-о) выше всех.
-
Вопрос еще актуален. Не могу настроить впн. Сейчас явно объявил два openvpn интерфейса. Сделал multiwan именно опенвпн интерфейсов. Вроде бы переключает. Но когда переключает на второй, из компьютера пинг не проходит на удаленную сеть. А с самого pfsense проходит. Пробовал стат маршрут прописать. Указываю удаленную сеть 192.168.1.0/24, интерфейс выбираю второй openvpn интрефейс. Трассировка с компа тоже не идет. Доходит до роутера и все.
-
@El_Ninio Вы уже куда-то на туда заехали и путаетесь все больше. Достаточно каждого клиента привязать к своему интерфейсу и все. Дальнейшее зависит от настроек сервера. Что у вас на сервере в Server mode? Вообще неплохо было бы увидеть как настройки сервера, так и клиентов
-
@rubic создано два сервера openvpn для ттк и ртк. Настройка через share key.
Первом сервера интерфейс ттк порт 1196, туннель 10.0.35.0/30 удаленная сеть 192.168.113.1/24 остальные настройки все по умолчанию. Второй сервер настроен аналогично, интерфейс ртк порт 1197 туннель 10.0.36.0/30 удаленная сеть 192.168.113.1/24. Файрволе Openvpn разрешил все. А на стороне клиента тоже так же создаю клиенты. Указываю внешние адреса ттк и ртк головного офиса, порты, пароль. Коннект есть, клиент получил адрес туннеля динамически, т.е 10.0.35.2 и 10.0.36.2 соответственно. На клиенте РТК и Бридж телеком. Соединяю ртк на ртк а бридж на ттк. Ну вроде бы все. Ртк работает. С локального компьютера клиента удаленная сеть видна расшаренные папки и прочее. Для проверки в головном офисе отключаю сервер openvpn РТК. Клиент переключился на бридж и теперь должна была работать openvpn бридж-ттк. Туннель есть. А локального компа не видится шары и пинг не проходит на удаленную сеть.
-
В логах сервера вижу вот такую ошибку ERROR: FreeBSD route delete command failed: external program exited with error status: 1. И заметил еще, когда на стороне сервера перезапуск делаю именно этого OpenVpn сервера на ттк. То с локального компьютера клиента начинают ходить пинги и шары открываются. Но это длиться не надолго. Мин 3-4 максимум. При перезапуске похоже создается динамический маршрут, и потом через некоторое время походу удаляется.
-
@El_Ninio Предполагаю, так оно работать не будет. Там же роуты вставляются прямо в таблицу, а у вас 2 клиента и одна удаленная сеть. pfSense не может иметь два маршрута в одну сеть. Вам надо настроить OSPF и не указывать в настройках Local/Remote Network(s)
-
@rubic почему не должно работать? Допустим у клиента упал РТК, pfsense переключает на резервный канал Бриджтелеком. Потом впн по РТК он же не будет использоваться если нет инета РТК. Pfsense должен же понимать это, или он будет долбиться offline vpn от РТК через шлюз Бриджтелеком?
-
@El_Ninio said in Два провайдера и openvpn клиент:
@rubic почему не должно работать?
Я написал почему, 2 клиента OpenVPN пытаются вставить в таблицу маршрутизации один и тот же маршрут 192.168.113.1/24 (кстати, почему .1/24?), а это невозможно. В удаленную сеть в итоге будет один маршрут, например через РТК, а когда РТК упадет, маршрут через ТТК сам не появится.
-
@rubic Если даже отключить РТК клиент, все равно не работает. При отключении остается же один клиент бридж на ттк. Где прописана удаленная сеть 192.168.1.0/24. Это на стороне клиента. Если со стороны сервера тоже делать disable РТК сервера откуда он знает что уже существует маршрут 192.168.113.0/24. Если оба сервера были бы включены. То возможно да, конфликт был бы. У обоих серверов одна и та же удаленная сеть.
-
Как вообще настроить такую схему? Хотелось бы впн не отвалилось, при переключении на другой канал. Чтобы при падении одного из каналов, работала впнка.
-
Вообщем, пробовал отключить на клиенте openvpn через РТК оставив только openvpn по Бриджтелекому. И пробовал с pfsense клиента, пропинговать комп в локальной сети гл офиса, пинг проходит. Подключаюсь на клиенте через тимвивер пингую тот же комп или любой пинга нет. И со стороны сервера тоже такая же картина. С pfsense гл офиса пингую удаленный компьютер клиента. Тоже пинг есть. А с своего компьютера из подсети 192.168.1.0/24(локальная подсеть офиса) пингую удаленную сеть 192.168.113.0/24(ЛВС клиента), а пинга нет. Файрвол не пускает или что? Не могу понять. А когда обратно включаю OpenVpn через ртк на клиенте, то все гуд. Шары видны пинг проходит.
-
@El_Ninio
Здр
Почему не хотите OSPF запустить , для Вашего случая , это очень здравая мысль
-
@Konstanti а как это сделать? Можете подсказать)) Как конфигурировать? Это на клиенте настраивается или на сервере?
-
-
@Konstanti ок, спс!
-
@Konstanti если поставлю этот пакет на сервере и на клиенте то не будет ли все это дело влиять на других клиентов, айпи телефонии и прочих. Потому что на сервере гл офиса подключено 20 точек.
-
@El_Ninio Этого я Вам не готов сказать
Все зависит от того , как все настроено и функционирует
-
@El_Ninio said in Два провайдера и openvpn клиент:
cоздано два сервера openvpn для ттк и ртк. Настройка через share key.
@El_Ninio said in Два провайдера и openvpn клиент:
а сервере гл офиса подключено 20 точек.
Точки - это клиенты openvpn?
Не очень понятно, как 2 сервера в режиме share key обслуживают 20 точек.
-
@pigbrother нет, вы не правильно поняли. У каждой точки два резервных канала, у каждого канала свой OpenVpn сервер.
-
@Konstanti еще вопрос, а как настроить osfp если у меня внешний адрес динамический? В глобальных настройках какой внешний айпи должен указать??
-
Настроил ospf, пробовал на клиенте отключить основной vpn client, а на сервере запустил netstat -rn и вижу что туннель не переключился на второй остался запись отключенного клиента 192.168.113.0/24 10.0.35.2 UGS ovpns17. Это что получается, когда упадет РТК у клиента, а в офисе пока не выключишь сервер по РТК, то у тебя не переключиться на второй сервер?
-
@El_Ninio said in Два провайдера и openvpn клиент:
@Konstanti еще вопрос, а как настроить osfp если у меня внешний адрес динамический? В глобальных настройках какой внешний айпи должен указать??
В Router ID? Туда можно писать что попало. Вам нужно на обеих сторонах в Interface Settings добавить ваши OpenVPN интерфейсы с разными Metric и интервейсы LAN c галкой Interface is Passive. В настройках OpenVPN клиентов/серверов везде убрать Local/Remote Network(s)
-
@rubic так и сделал. Но почему маршрут не переключает?
-
@El_Ninio убедитесь, что на обоих pfSense в Status > Services FRR ospfd работает. Также посмотрите установили ли роутеры соседство Services > FRR OSPF > Status > OSPF Neighbors есть ли маршруты в локальные сети в Services > FRR OSPF > Status > OSPF Routes
-
@rubic я может не тот пакет установил? Quagga OSPF это же он?
-
@El_Ninio Quagga тоже будет работать, там и меню все такие же, только везде слово 'Quagga' вместо 'FRR'
-
This post is deleted!
-
Добрый.
А ведь ospf умеет и non-broadcast :
https://www.nongnu.org/quagga/docs/docs-multi/OSPF-interface.html
Interface Command: ip ospf network (broadcast|non-broadcast|point-to-multipoint|point-to-point)
Interface Command: no ip ospf network
Set explicitly network type for specifed interface.Т.е. можно ospf не только tap или p2p tun в Openvpn пользовать, но и правоверный клиент-серверный вариант?
В настройках OpenVPN клиентов/серверов везде убрать Local/Remote Network(s)
Хм. А если сделать выше описанное, то в Static route на пф (к-ый впн-клиент) можно попробовать указать ранее созданную Группу из впн-интерфейсов как GW и пользовать без всяких ospf ? Типа, все что идет к 192.168.113.0/24 завертывать через выше описанную схему.
-
@werter said in Два провайдера и openvpn клиент:
Добрый.
А ведь ospf умеет и non-broadcast :
https://www.nongnu.org/quagga/docs/docs-multi/OSPF-interface.html
Interface Command: ip ospf network (broadcast|non-broadcast|point-to-multipoint|point-to-point)
Interface Command: no ip ospf network
Set explicitly network type for specifed interface.Т.е. можно ospf не только tap или p2p tun в Openvpn пользовать, но и правоверный клиент-серверный вариант?
Практически что угодно можно использовать, только это несколько теряет смысл в режиме PKI, так как вам все равно придется прописывать клиентские сети в Client Specific Overrides, т.е. OSPF не может сделать за вас то, к чему он предназначен, нужна ручная работа, к сожалению. Тем не менее я лично использую Network type: Point-to-Point для связи с Mikrotik филиалов. Без этого оно не взлетало (может что уже и изменилось), потому и запилил этот Network type в Services > Quagga OSPFd > Edit > Interface Settings
В настройках OpenVPN клиентов/серверов везде убрать Local/Remote Network(s)
Хм. А если сделать выше описанное, то в Static route на пф (к-ый впн-клиент) можно попробовать указать ранее созданную Группу из впн-интерфейсов как GW и пользовать без всяких ospf ? Типа, все что идет к 192.168.113.0/24 завертывать через выше описанную схему.
Думаю, все это можно, но просто OSPF в режиме OpenVPN Shared Key дает столько плюшек и так по сути прост в настройке, что городить интерфейсы, шлюзы и их группы - это просто сложный путь, вообще недолюбливаю policy routing - это по сути костыль
-
@rubic не подскажешь почему не переключается туннель? Переключается когда на стороне сервера ручную отключаешь основной по метрике сервер openvpn.
-
@El_Ninio Так все-таки переключается же? Это вообще несколько искусственная ситуация отключать сервер или клиент (хотя у меня и при отключении клиента переключается), нужен реальный обрыв связи, а не искусственное отключение. Подозреваю, там у вас уже наворочено всего, а инфой вы делитесь как-то скупо. Причин куча может быть
-
Извините за оффтопик.
@rubic Вы упоминали
@rubic said in Два провайдера и openvpn клиент:
связи с Mikrotik филиалов
На pfSense 2 белых IP, соответственно 2 OVPN сервера. Как правильно сделать файловер со стороны филиалов с Микротиками? Стандартно клиент OVPN получает метрику ( Distance в терминологии RourerOS)1.
Прописывать маршрут для каждого клиента OVPN руками с указанием Distance?
