Backup Link using VPN

fneto · Oct 11, 2011, 5:26 PM

Hi all!!

I have an special situation and I'd like to ask if someone could give me a tip or show me the directions on how to solve my problem!!

We have 4 pfSense's firewalls, 1 in each different address of our company. Between our offices we have leased lines to exchange data called in Brazil as MPLS. And we have an internet connection in each address too.

What we need to do is establish IPSec ou OpenVPN tunnels between offices, and in case one of our leased line goes down the office continue working routing the internal packets through the VPN.

To clarify:

Site A
Local: 10.0.1.0/24
MPLS: 10.10.1.0/24
Internet: 200.x.x.x

Site B
Local: 10.0.2.0/24
MPLS: 10.10.2.0/24
Internet: 200.x.x.x

Site C
Local: 10.0.3.0/24
MPLS: 10.10.3.0/24
Internet: 187.x.x.x

Site 4
Local: 10.0.4.0/24
MPLS: 10.10.4.0/24
Internet: 189.x.x.x

All the communications between sites are made by MPLS (routing between 10.x.x.x networks), I need to route the packets using the VPN when on or all my leased lines gets down!

Today when I setup the IPSec all the traffic goes through VPN ignoring the Route by MPLS lines.

Hos can I fix it or create an way to only start the ipsec or openvpn when the MPLS have some problem??

Thanks!!

marcelloc · Oct 11, 2011, 8:20 PM

You can and extra pfsese with all ipsec configuration and setup a failover on other pfsenses using mpls and ipsec gateways

–--------- pfsense gw (ipsec)
pfsenses 1 to 4 ----|
----------- mpls

att,
Marcello Coutinho

fneto · Oct 11, 2011, 9:45 PM

I think this is an option, but add 4 more servers in the infrastructure is not what I'm thinking. I looking for an way where I can or create the load balance with ipsec or maybe create an script that use the gateway monitoring and in the case that MPLS goes down start the ipsec.

But I think that maybe have other better options than these 2!!

marcelloc · Oct 11, 2011, 9:49 PM

it will not be 4 new firewall, just one.

you told that you have 04 firewall, my suggestion was to add one.

If you speak portuguese, posta isso no forum do brasil tambem. Pode ajudar outras pessoas.

fneto · Oct 12, 2011, 1:30 AM

Olá Marcelo, sou brasileiro sim, não entendi a sua sugestão de adicionar apenas 1 firewall, isso não vai dar certo, pois cada firewall em cada endereço está fisicamente conectado ao MPLS da embratel e ao link de internet que é usado como backup.

A saída de internet é feita primariamente pelo link local, se não conseguir ele faz o roteamento pela saída do MPLS. O que preciso agora é fazer o contrário, se o MPLS cair fechar a VPN e permitir que um escritório troque dados com o outro através da VPN.

O rolo é que assim que a VPN é ativada o pfsense simplesmente ignora a rota anterior do MPLS e trafega todos os dados diretamente pela VPN, voltando a trafegar pelo MPLS apenas quando eu paro o serviço do IPSec.

Se eu colocar mais um firewall apenas eu resolvo o problema no ponto central, mas nos pontos remotos, quando forem tentar trafegar dados eles sairam através da VPN também compreendeu!!

Minha idéia era criar um script no sistema para assim que o link caisse o script ligasse o serviço do ipsec. Fazendo isso já resolveria o meu problema, mas como disse imagino e espero que exita outra solução menos gambiarra que isso no pfSense certo!!

A propósito vou postar a dúvida no fórum brasileiro também!!

Obrigado!!

marcelloc · Oct 14, 2011, 2:35 PM

I've started a new topic in IPSEC

http://forum.pfsense.org/index.php/topic,42025.0.html