Два провайдера и openvpn клиент

pigbrother

Извините за оффтопик.

@rubic Вы упоминали

@rubic said in Два провайдера и openvpn клиент:

связи с Mikrotik филиалов

На pfSense 2 белых IP, соответственно 2 OVPN сервера. Как правильно сделать файловер со стороны филиалов с Микротиками? Стандартно клиент OVPN получает метрику ( Distance в терминологии RourerOS)1.
Прописывать маршрут для каждого клиента OVPN руками с указанием Distance?

El_Ninio

@rubic переключается когда отключаешь на стороне сервера openvpn сервер. Да ничего там не наворочено, просто подключены суммарно 20 точек, 10 на 10 с двумя провайдерами. Файрволе ничего не настроено кроме разрешений all на внешние интерфейсы и OpenVpn серверов. И настроены стат маршруты. Это маршруты sip. А на стороне клиента тоже самое. Два openvpn клиента, файрволе тоже самое. Настроен мультиван tier1 tier2 на vpn интерфейс и по сути все.

rubic

@pigbrother said in Два провайдера и openvpn клиент:

Извините за оффтопик.

@rubic Вы упоминали

@rubic said in Два провайдера и openvpn клиент:

связи с Mikrotik филиалов

На pfSense 2 белых IP, соответственно 2 OVPN сервера. Как правильно сделать файловер со стороны филиалов с Микротиками? Стандартно клиент OVPN получает метрику ( Distance в терминологии RourerOS)1.
Прописывать маршрут для каждого клиента OVPN руками с указанием Distance?

Тоже через OSPF делается. Ставите пакет Quagga OSPFd, идете в Services > Quagga OSPFd > Interface Settings, заводите там интерфейсы OpenVPN серверов и LAN, к которым нужен доступ клиентам:

для разных серверов OpenVPN разные метрики, для LAN-ов поставить 'Interface is Passive' и Network Type: Default
Services > Quagga OSPFd > Global Settings делаете так:

и сохраняете. На Mikrotik в Routing OSPF делаете Instance:

заводите нашу Area:

в Networks помещаете Tunnel Networks OpenVPN и LAN за mikrotik:

теперь в Interfaces должны появиться интерфейсы, но их еще надо отредактировать, для чего в настройках нажимаете Copy:

и делаете так:

теперь в Neighbors должно быть так:

а в Routes так:

здесь 192.168.1.0/24 - LAN за pfSense

в IP > Routes получаем такое:

видно, что 192.168.1.0/24 доступна через ovpn_out1 - там метрика меньше. Если ovpn_out1 ляжет, OSPF уберет этот маршрут и подсунет другой через ovpn_out2

pigbrother

@rubic Огромное спасибо за подробный ответ!

werter

Добрый.

Выражаю ОГРОМНУЮ благодарность и ТС и тем, кто помогал.
Крайне интересная и важная тема.

rubic

Спасибо за спасибо, кто будет делать - обращайтесь. Сразу скажу, с FRR это не взлетает - не инсталлируется маршрут на Mikrotik в IP > Routes, разбираться некогда. Также на pfSense в настройках OpenVPN удаляйте все в Local/Remote Network(s) - рулить маршрутизацией будет OSPFd, но! сети за Mikrotik должны быть в Client Specific Overrides обязательно, потому что Mikrotik - он такой, не поддерживаете PSK в OpenVPN, а в PKI Client Specific Overrides необходимы

pigbrother

@rubic Что должно быть в Router ID в Global Settings?
Specify the Router ID. RID is the highest logical (loopback) IP address configured on a router.
Там ссылка на Википедию, но она мало что объясняет:
If two or more routers tie with the highest priority setting, the router sending the Hello with the highest RID (Router ID) wins. NOTE: a RID is the highest logical (loopback) IP address configured on a router, if no logical/loopback IP address is set then the router uses the highest IP address configured on its active interfaces (e.g. 192.168.0.1 would be higher than 10.1.1.2).

rubic

@pigbrother Все, что хотите, в формате IP адреса. Для наших целей не имеет значения, лишь бы были уникальны в сети, т.е. адрес WAN вполне подойдет

El_Ninio

This post is deleted!

rubic

@El_Ninio said in Два провайдера и openvpn клиент:

@rubic короче замучился, переключает сейчас не надолго.

Попробуйте в Services > Quagga OSPFd > Interface Settings для каждого интерфейса установить галку Accept filter, как на серверном, так и на клиентском pfSense

El_Ninio

@rubic все равно отваливается маршрут.

rubic

@El_Ninio вот строчка, которой не должно быть:

у вас клиентская WAN подсеть залезла в туннель

покажите Services > Quagga OSPFd > Global Settings сервера и клиента, а также Services > Quagga OSPFd > Interface Settings тоже с обоих сторон

El_Ninio

This post is deleted!

El_Ninio

This post is deleted!

rubic

@El_Ninio убери там и там Redistribute connected subnets в Services > Quagga OSPFd > Global Settings

El_Ninio

@rubic ок. Попробую щас.

El_Ninio

@rubic все тоже самое. Маршрут удаляется.

rubic

@El_Ninio а что за сети в These rules take precedence over any redistribute options specified above?

El_Ninio

@rubic туннели

rubic

@El_Ninio если те, которыми эти 2 pfSense связаны, то не нужны они там, удалить