Два модема, одна сетевуха и причем здесь OpenVPN?
-
Приветствую.
Полагаю вопрос нубский, про multi wan, но у меня не получается сделать такую фишку и прошу у Вас совета.
Суть вопроса в том что имеется сервак с поднятым клиентом openvpn и DHCP, и одной сетевой картой. В сети так же есть два модема от разных провайдеров.
Задача банальна: при падении одного провайдера, что бы включался другой (ну на самом деле еще шейпер хотелось бы приклеить что бы в обычном режиме 80 порт шел одному провайдеру, OpenVPN другому, и при падении одного из них, все "сливалося в уодно"). Однако у меня не получается т.к. я что-то (или все) упускаю.
Что сделано:- Lan интерфейс с 192.168.51.3 и Шлюзом 192.168.1.1 (это айпишник одного из модемов - модем1)
- Две записи шлюзов:
Modem1 (default) ** LAN ** 192.168.51.1 ** 93.158.134.203 (яндекс если что)
Modem2 ** LAN ** 192.168.51.2 ** 77.88.6.190 - Две группы:
Modem1ToModem2 ** Modem1/Modem2 ** Tier 1/Tier 2
Modem2ToModem1 ** Modem1/Modem2 ** Tier 2/Tier 1 - В фаерволе все разрешено (пока не разберусь).
И раз я сюда пишу, значит все это не работает т.е. отключение modem1 приводит к падению интернета\openvpn, падение modem2 ни как не отражается на системе. Подскажите пожалуйста как правильно организовать поставленную задачу?
Спасибо!
-
1. System: Advanced: Miscellaneous - поставить галки Use sticky connections и Allow default gateway switching
2. Прописать правила NAT одинаковые для двух соединений
3. В Firewall: Rules на LAN интерфейсе создать правило каким адресам ходить через Modem1ToModem2 или Modem2ToModem1 (в доп свойствах) -
3. В Firewall: Rules на LAN интерфейсе создать правило каким адресам ходить через Modem1ToModem2 или Modem2ToModem1 (в доп свойствах)
Человек хочет - Задача банальна: при падении одного провайдера, что бы включался другой
А в вашем варианте - часть юзеров поедет через один модем, часть через другой. -
2 Botv0091
Отл. статья - ru.doc.pfsense.org/index.php/Интернет_от_двух_провайдеров_(pfSense_2.x)
-
Начну с конца =)
@werter:2 Botv0091
Отл. статья - ru.doc.pfsense.org/index.php/Интернет_от_двух_провайдеров_(pfSense_2.x)Эта статья у меня за основу всего взята. Ковырялся с одной сетевухой и понял что ни фига не получается - плюнул, поставил три сетевухи и все по статье сделал - НЕ РАБОТАЕТ =( Или OpenVPN не пробивается или интернета совсем нет, кроме того в статье нет правила которое бы возвращало изначального провайдера при восстановлении связи монитором. Максимум чего добился - интернет, но OpenVPN при этом лежит в мертвую - выпил пивка с другом - пришли к выводу что шалит ДНС. Пока что возможное решение - снести пфсенс и поставить все заново - но решение не кошерное =))
2 nomeron
Мой друг сказал что для того что бы вообще схема работала - модемы должны быть в разных подсетях иначе роуты "лупятся" - вот гадаю: может я задание не верно поставил? И сетевухи я уже прикупил … -
кроме того в статье нет правила которое бы возвращало изначального провайдера при восстановлении связи монитором.
http://forum.pfsense.org/index.php?topic=49511.0#msg262645 - последний пост со скринами от nalawadesatyen . По идее , если основной линк имеет Tier 1, а резервный - Tier 2, то pf при пропадание-появление связи должен возвращать линк на tier с наименьшим значением. Пробуйте так, только не торопитесь.
P.s. По поводу вашего клиента OpenVPN на pf - http://forum.pfsense.org/index.php/topic,45252.0.html . Там дискуссия большая , но пробуйте так :
The way I do it is with outbound NAT + floating rules. I make sure outbound NAT applies to my OpenVPN client connection (rule for each wan, source 'any', destination of the far side of the VPN on the applicable VPN port). Then a floating rule catches the outbound VPN traffic and makes it use a failover gateway group. Interface for OpenVPN in this case is just 'any' so it uses the right source.
P.s.s. Подумалось перевести оба момеда в режим bridge и пускай pf поднимает две сессии. Тем более они в одной сети с pf. И уже failover настраивать между ними.
Идеально бы было перенести машину с pf в комнату к этим двум модемам (оба в бридж), воткнуть еще две сетевые (или одну + свитч), далее LAN - в общую локалку, а двумя сетевыми (WAN1 (192.168.10.2) и WAN2 (192.168.20.2))- к модемам (или в варианте со свитчем и еще одной сетевой - просто дать этой сетевой два адреса для доступа к обоим момедам (192.168.10.2 и 192.168.20.2) ). Модемам же дать адреса из др. сетей на ваш выбор (напр., 192.168.10.1 и 192.168.20.1 ). И пускай себе pf поднимает обе сессии.
Ну должно быть у pf минимум ДВА интерфейса - LAN и WAN . Иначе весь его смысл как fw-ла теряется.
