Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Como Failover com duas conexões de vpn usando ipsec no pfsense

    Scheduled Pinned Locked Moved
    Portuguese
    2
    4
    335
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      fcostars
      last edited by fcostars

      Bom dia!

      Srs, procurei em vários fóruns mas não encontro nada, acho que deve ser impossível de fazer.

      Gostaria de saber como fazer um failover entre duas conexões ipsec.... tenho o seguinte senário.

      Possuímos um serviço na AWS onde acessamos através de VPN IPSec a partir da empresa. Tenho dos links redundantes um da Algar e outro da Vivo, fiz dois tuneis conectando a AWS, ate ai tudo bem mas o problema é que os dois ficam ativos ao mesmo tempo.

      Gostaria de saber se existe alguma maneira de configurar um failover entre eles, quando um cair o outro começa a funcionar, tipo failover entre links onde configuramos os tiers.

      Isso é possível?

      Obrigado pela ajuda!

      M 1 Reply Last reply Reply Quote 0
      • M
        mcury @fcostars
        last edited by

        @fcostars Configura o IPsec em modo VTI, ai você vai poder rodar OSPF no túnel para chaveamento que vai acontecer em segundos.
        Se quiser ainda mais melhorar o tempo de convergência, pode tunar o dead e hello timers, ou rodar o BFD no OSPF.

        https://docs.netgate.com/pfsense/en/latest/vpn/ipsec/configure-design.html

        dead on arrival, nowhere to be found.

        F 1 Reply Last reply Reply Quote 0
        • DerelictD Derelict moved this topic from IPsec on
        • F
          fcostars @mcury
          last edited by

          @mcury Ola @mcury obrigado pela dica, mas esta configuração só funciona de pfsense para pfsense!

          Gostaria de fazer essa configuração somente no pfsense da empresa, pois no servidor da AWS que preciso me conectar é um Linux SUSE onde uso um programa chamado strongSwan para fazer ipsec.

          M 1 Reply Last reply Reply Quote 0
          • M
            mcury @fcostars
            last edited by mcury

            @fcostars said in Como Failover com duas conexões de vpn usando ipsec no pfsense:

            só funciona de pfsense para pfsense!

            Opa, o pfSense usa strongswam internamente, diversos fabricantes suportam VTI, pelo que vi ultimamente parace que apenas a Mikrotik ainda não suporta.

            [23.09.1-RELEASE][root@pfsense.home.arpa]/root: pkg info strongswan
strongswan-5.9.11_3
Name           : strongswan
Version        : 5.9.11_3
Installed on   : Wed Dec  6 19:10:13 2023 -03
Origin         : security/strongswan
Architecture   : FreeBSD:14:amd64
Prefix         : /usr/local
Categories     : security net-vpn
Licenses       : GPLv2
Maintainer     : strongswan@nanoteq.com
WWW            : https://www.strongswan.org
Comment        : Open Source IKEv2 IPsec-based VPN solution

            Portanto, seria possível fazer o VTI sim entre as duas pontas.
            Essa seria a melhor opção, você poderia usar roteamento estático (que não teria failover) e você teria que alterar o gateway da rota manualmente caso quisesse chavear.
            Você poderia usar policy route com gateway group com os gateways da VPN.
            E você poderia usar roteamento dinâmico com OSPF instalando o FRR no pfsense e no Debian, mas eu nunca instalei isso no Debian, então não sei como seria trivial.

            A outra forma seria você fechar apenas um túnel da sua rede para a AWS usando dyndns.
            Nesse caso, caso o seu link da Vivo (supondo que é o primário) por exemplo caísse, o dyndns atualizaria e você fecharia a conexão novamente com a AWS usando esse novo link.

            dead on arrival, nowhere to be found.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post