Резервирование IPSec или маршрутизация трафи&



  • в общем есть задача, не могу сообразить как реализовать?

    начнем с первого:

    есть 2 офиса, которые нужно объединить.
    в первом офисе 1 провайдер, во 2-м - два провайдера.
    поднимаем IPSec в каждом офисе на первых интефейсах - все замечательно, НО как мне организовать поднятие второго туннеля в случае падения первого провайдера (там где их два). ну и естественно возврат обратно при его появлении?




  • Поднять 2 туннеля сразу и настроить на них Load Balansing ?



  • dvserg :

    Скажите вы пробовали это сделать? Каким образом это осуществить?
    С обычными интерфейсами понятно:
    через System –> Routing --> Gateway Groups

    а как с туннелями IPSEC? или я не туда смотрю?



  • Собственно да, чейт я замечтался.

    Вот темы по балансеру
    http://forum.pfsense.org/index.php/topic,27338.0.html
    http://ru.doc.pfsense.org/index.php/Интернет_от_двух_провайдеров_(pfSense_2.x)

    Думается, если WANы объединить Failover LoadBalansing - туннель должен будет переподниматься через работающий канал. А при восстановлении основного - возвращаться на него.

    Кто делал - поправьте если не так.



  • Не думаю, что возможно держать два тоннеля активных одновременно. Надо второй поднимать (на обоих сторонах причём), только если "основной" упал.
    В pfSense это не реализовано.



  • ну неужели ни кто этого не делал?

    ЛЮДИ…
    поделитесь мыслями, уже вторую неделю голову ломаю...

    суппорт который платный, так и сказал: Not easily, not with a normal tunnel.
    остальное за 600 баксов...  :'(

    подобный вопрос был, но ответа тож нету, задал вопрос автору жду ответа...
    http://forum.pfsense.org/index.php/topic,27581.0.html

    ответит - поделюсь




  • На site B настроить IPsec в режиме Mobile clients чтобы он сам не пытался инициировать соединение. На site A разнести задачи файловера и туннелирования по разным устройствам. Т.е. туннель будет поднимать кто-то из-за  PfSense box A. При файловере канала туннель порвется, но потом опять восстановится через другой WAN.



  • Товарищ gudkov, в support'е правильно сказали.
    Это нетривиальная задача и может быть решена только конфигурированием двух тоннелей на обоих концах и включением/выключением соответствующих тоннелей автоматически (на основе доступности первого интерфейса).
    PS: c $600 по-моему немного погорячились, хотя, если всё в web-interface загнать, то ещё и мало будет.


Log in to reply