2 WAN и OpenVPN головоломка [РЕШЕНА]



  • Есть pfsense с двумя wan и с поднятым openvpn сервером.
    Оба ван имеют выделеные айпи в Интернете.
    Как обеспечить доступность сервера на обоих айпи?

    Исходящие пакеты всегда прут в умолчательный гейт. Т.е. на wan1 все работает, если пытаться присоединися через wan2, то ответные пакеты уходят через wan1. OpenVPN ведь ничего про роутинг не знает и просто отвечает на айпи.

    Исходящим пакетам можно напрямую указать гейт, но выделить правилами какие пакеты в какой wan пихать не возможно.

    Мысли вот сюда повернулись:
    Если б сервер был на отдельно стоящей машине в LAN, то можно было бы на wan открыть какой-нить порт (например 1111) и исходящим натом заменить порт на openvp и айпи на айпи LAN интерфейса, тогда обратные пакеты можно было бы фильтровать  на wan1 по порту (1111) явно указывать им гейт в wan2.

    Аналогично можно поступить через loop интерфейс. Но на пфсенсе нет возможности выбирать loop в правилах.

    Может есть еще какие-то решения? Запутался уже совсем…



  • Что-то я не понял. OpenVPN поддерживает multiwan сто процентов.
    Уверен, что на втором WAN default gateway сконфигурирован?



  • Да я чего-то сам запутался. Шлюз на втором ване прописан точно.
    Вроде все должно быть гораздо проще. Должно сработать reply-to правило. Но че-то лыжи не едут.

    pass in log quick on rum0 reply-to (rum0 192.168.1.1) inet all flags S/SA keep state label "USER_RULE: USBWireless local pass"

    rum0 – wan2, 192.168.1.1  — шлюз в wan2



  • и как tcpdump выглядит?



  • В состояниях две записи:

    udp  192.168.1.55:1194 <- YYY.YYY.YYY.YYY:43284  NO_TRAFFIC:SINGLE 
    udp XXX.XXX.XXX.XXX:1194 -> YYY.YYY.YYY.YYY:43284 SINGLE:NO_TRAFFIC

    где XXX.XXX.XXX.XXX внешний айпи wan1, YYY.YYY.YYY.YYY — адрес клиента впн.



  • @Eugene:

    и как tcpdump выглядит?

    Ну в общем так и выглядит. Если снимать на wan2, то видно входящие пакеты, а если на wan1, то исходящие. Или надо еще что-то в них посмотреть?



  • tcp не пробовал?



  • @Eugene:

    tcp не пробовал?

    Ну по идейным соображениям должно быть нафиг пофиг. Но по религиозным — попробую сегодня вечером.



  • Религия видимо рулит:
    http://www.opennet.ru/openforum/vsluhforumID1/83112.html
    Будем пробовать.



  • @BDenis:

    Будем пробовать.

    ААА!!!
    TCP. С первого раза.
    ТРИ! Три долбанных часа и куча безумных мыслей в голове!

    Eugene, спасибо большое. В эту сторону я еще не скоро б начал рыть.



  • спасибо то спасибом да вот интересно почему UDP не подчиняется policy routing… -(((



  • Ну я не вникал, но сложилось впечатление, что это баг. Причем жалуются на 7.0, 7.1 и 7.2.
    Наверное, в 2.0 должно быть все хорошо.



  • Если есть желание экспериментировать, то можно попробовать создать правило чётко для UDP ручками (что-бы не было всяких SYN в правиле).



  • Желания нет, ибо роутер уже в работе.
    Да и сначала имеет смысл потестить восьмерку.



  • а сервер OpenVPN у вас один ?
    у меня тоже 2 интернета приходят, но они на два разных OpenVPN сервера ложатся. В настройках можно указать серверу OPVN какой IPшник слушать.

    а по TCP OVPN нормально работает ?



  • @Shraik:

    а по TCP OVPN нормально работает ?

    Отлично работает.



  • @Eugene:

    спасибо то спасибом да вот интересно почему UDP не подчиняется policy routing… -(((

    Похоже виноват openVPN. Поддержка multi-homing по UDP появилась только что в версии 2.1.1.




Log in to reply