OpenVPN как резервный канал



  • Поможите, други!

    Присказка :
    Есть 3 интерфейса - WAN (шлюз по умолчанию), LAN, OPT1, где WAN - окно в Европу Интернет, OPT1 - корпоративный канал для связи с филиалами. Всё работает, вот только иногда корпоративный канал пропадает :( и от этой напасти было задумано поднять у себя OpenVPN в кач-ве сервера, а в филиалах, ес-но, клиентов установить-настроить. Сказано - сделано. Клиенты коннектятся, пакетики бегают. Всё чин-чинарём.

    А теперь Сказка:
    Для того чтобы сервер и , соответственно, моя сеть за ним "видели" клиентов и их сети в настройках openvpn-сервера в Advanced configuration - Advanced прописано route 10.x.x.x.x 255.255.255.0, где 10.x.x.x.x - сеть клиента . Вот в этом-то и есть загвоздка :( При таких настройках сразу в таблице маршрутизации появляется ,как и полагается, запись о том что, в сеть клиента ходить через openvpn-шлюз, но корпоративный канал OPT1 пока что работает и ходить в сеть клиента нужно через него, о чем есть в System: Static Routes запись. И в таблице маршрутизации pfsense светятся два маршрута к клиенту - через OPT1 и через openvpn (интерфейс ovpns1). Так вот pfsense считает openvpn-маршрут более приоритетным и сует все обращения к сети клиента через туннель, что мне никак не подходит, т.к. в данный момент времени все с корпоративным каналом (OPT1) отлично и клиенту на той стороне , ес-но, нет надобности в поднятие openvpn-линка как резервного соединения и я сеть клиента не вижу.

    Что было опробовано :
    1. Естественно, попытка назначения метрики маршруту до сети клиента в OpenVPN: Server: Advanced configuration: Advanced вида route 10.x.x.x.x 255.255.255.0 100, где 100 - метрика .
    Вариант route 10.x.x.x.x 255.255.255.0 vpn_gateway 100; тоже не прошел.
    2. Команды route-up "route delete -net 10.x.x.x 255.255.255.0 "; route-up "route add -net 10.x.x.x 255.255.255.0 "адрес интерефейса OPT1" 1", где 1 - метрика маршрута тоже ничего не дали или их синтаксис неверен.

    Вопрос :
    Понятно, что можно решить эту задачу путем добавления\удаления записи о маршруте в клиентскую сеть вручную, но это неприемлимо в моем случае (клиентов - 29 и доступ к настройкам сервера есть далеко не всегда ). Как сделать так, чтобы OpenVPN-соединение было резервным автоматически? Т.е.корпоративный канал живет и здравствует (при работающем параллельно с прописанными маршрутами на сети клиентов OpenVPN-сервере) - ходить через него , упал - клиент поднимает у себя openvpn-сессию и он видит нас, а мы видим его. Как назначать метрики в pfsense ?

    Спасибо заранее за помощь.



  • @werter:

    в Advanced configuration - Advanced прописано route 10.x.x.x.x 255.255.255.0, где 10.x.x.x.x - сеть клиента

    Попробуй так:
    route-metric 100
    route 10.x.x.x.x 255.255.255.0

    –route-metric m
        Specify a default metric m for use with --route.



  • 2 rubic:
    Уже. Результат - отрицательный :(



  • в сетевом стеке бсд, метрик нет

    чето ржу…
    век живи, век учись))



  • Вот и приехали :( Во Фре нельзя назначать метрики. И это хрен знает нак каком году "жизни" ? Даже ОСь от Билла это умеет.
    Может есть еще какие варианты?



  • А что за сеть на OPT1 и что в качестве шлюзов в нее используют филиалы? Если на OPT1 есть gateway, то можно пробовать gateway-failower как при dual-wan.



  • @rubic:

    А что за сеть на OPT1 и что в качестве шлюзов в нее используют филиалы? Если на OPT1 есть gateway, то можно пробовать gateway-failower как при dual-wan.

    Отдельный корпоративный канал. Да, на OPT1 есть шлюз и да , я уже пробовал эту затею с gateway-failover - не работает.



  • podnimaesh openvpn kanali na obeix storonax (s kajdim filialom po 2 kanala bez routinga) bez routinga i dobavlyaesh OSPF u mrnya 4 mesyaca otlichno rabotaet bespereboynozabil chto znachit poterya svyazi  v filialax



  • @vardan:

    podnimaesh openvpn kanali na obeix storonax (s kajdim filialom po 2 kanala bez routinga) bez routinga i dobavlyaesh OSPF u mrnya 4 mesyaca otlichno rabotaet bespereboynozabil chto znachit poterya svyazi  v filialax

    У меня  на др. конце туннеля клиентом win2k-сервер. И мне нет нужды поднимать ДВА канала openvpn. Мне нужно , если есть корпоративная связь - ходим через OPT1, нет - ходим через openvpn.
    При этом openvpn как сервис должен постоянно работать.

    P.s. Все равно спасибо за совет.
    P.s.s. Если б еще описали настройку OSPF на pf с картинками - цены Вам бы не было :)



  • vot screen i
    da mojno i tak odin interface openvpn drugoy data kanal provaydera xotya ya cherez data provaydera svoy vpn nalajil :)








  • 2 vardan
    Для особоодаренных (т.е. для меня :) ) объясните, пож-та, мне на стороне клиента openpvn-ого , к-ый  у меня под win2k работает, OSPF настраивать надо?



  • konechno nado… no ya ne znayu na windax kak polzovatsya ospf om .. ili voobshe vozmojno li eto.. esli na klientskoy storone ne mojesh menyat vindu na pfsense naverno pridyotsya u sebya menyat na windu i polzovatsya microsoftovskimi vozmojnostyami



  • 2 vardan
    Спасибо за помощь :) Попробую - отпишусь.


Log in to reply