[2.0.2-RELEASE] dual wan + openvpn



  • Для гарантированного наличия дома интернета (основной ломается редко, но на пару дней, что не устраивало) подключил второго провайдера.
    Оба предоставляют доступ по PPPoE.

    По мануалу http://doc.pfsense.org/index.php/Multi-WAN_2.0 сделал gateway group из этих двух PPPoE-подключений, обеим указал Tier 1
    В firewall rules сделал правило

    Запустил для проверки торрент, оба канала более-менее равномерно нагрузились трафиком.

    Теперь собственно проблема.
    Кроме вышеописанного есть еще подключение через OpenVPN до работы.
    После настройки балансировки пакеты вместо того чтобы уходить в OpenVPN-туннель, уходят вместо со всеми остальными в gateway group и по назначению естественно не доходят.

    Как направить OpenVPN-трафик (destination - 172.17.0.0/16, 192.168.0.0/22) согласно таблице маршрутизации?

    Прочитал http://doc.pfsense.org/index.php/Multi-WAN_2.0#Policy_Route_Negation - и тупо сижу и не понимаю как сделать :(

    Помогите пожалуйста…



  • Правила с указанием gatewey имеют приоритет над таблицей роутинга.
    Попробуйте на LAN создать правило для вашей работы перед правилом 'load balance', принудительно указав в качестве gateway OpenVPN.



  • Получилось, спасибо.



  • @mrc:

    Получилось, спасибо.

    Примерно похожая ситуация (не стал создавать тему, надеюсь на дельній совет, тем более автору темы помогли :-) )
    ситуация следующая
    wan1 = pppoe (bridge) (ip привязан через no-ip.org)
    wan2 = static ip (белый) (подключили недавно отсюда и проблема)

    wan2 -> wan1 faloiver

    lan = 192.168.111.0/24

    openvpn server работал по udp на стандартном порту при wan1. После подключения wan2 появилась задача:
    создать подключения к опенвпн серверу через доступного в данный момент провайдера wan2 / wan1
    для этого было сделано:
    1. опенвпн сервер переведен с udp на tcp c прослушиванием any интерфейсов (хотелось бы канечно чтоб только wan1 и wan2, но не суть)
    2. на интерфейсе wan2 продублировано созданое автоматом правило которое было на wan1 и заменен протокол upd на tcp
    3. на интерфейсе openvpn сервера в gateway прописан MyMultiWAN (отказоустойчивое переключение между wan1 <-> wan2)

    теперь получилось в итоге:
    подключается только к wan2 (т.к gateway его я назначил по умолчанию) как сделать так чтобы при отсутствии интернета на wan2 клиент впн автоматом подключался к wan1
    в конфиг файле клиента-впн вместо remote mywhite_ip_wan2 1194 tcp написал remote mydynamic_ip_wan1.no-ip.org 1194 tcp, подключения не происходит.
    и еще одна странность с отказоустойчивым мульти-wan. Если wan2 = down то переключается на wan1 - все ок, а вот при появлении интернета на wan2 - обратного переподключения не происходит, хотя wan2 - выставлен  более весомым (вес=1) чем wan1 (вес=2)

    Подскажите куда копать, делал по статье
    http://macrodmin.blogspot.com/2012/02/multiwan-pfsense.html?showComment=1366096132665#c4317568251364919413

    и еще одна



  • Примерно тоже самое, и может даже более запутанно.
    Есть два шлюза офис1(сервер впн на suse linux 10) - и офис2 (клиент впн на pfsense)
    У двух офисах по два одинаковых провайдера, когда во втором офисе падает первый канал, впн ни в какую не хочет идти по второму, говорит сервер не доступен, пока не перезагрузишь или насильно не поменяешь интерфейс в впн клиента.

    Но в ревизии пфсенсе 2.1 появилась одна особенность, когда создаешь в роутенге - группу шлюзов, то эта группа появляется в интерфейсе впн, и при падении первого впн подключается по второму и когда появляется первый канал, то впн автоматом переключается обратно.
    Я уже подумываю бэту поставить, чтоб отрабатывала.



  • @intronet:

    Примерно тоже самое, и может даже более запутанно.
    Есть два шлюза офис1(сервер впн на suse linux 10) - и офис2 (клиент впн на pfsense)
    У двух офисах по два одинаковых провайдера, когда во втором офисе падает первый канал, впн ни в какую не хочет идти по второму, говорит сервер не доступен, пока не перезагрузишь или насильно не поменяешь интерфейс в впн клиента.

    Но в ревизии пфсенсе 2.1 появилась одна особенность, когда создаешь в роутенге - группу шлюзов, то эта группа появляется в интерфейсе впн, и при падении первого впн подключается по второму и когда появляется первый канал, то впн автоматом переключается обратно.
    Я уже подумываю бэту поставить, чтоб отрабатывала.

    Во вкладке System: Advanced: Miscellaneous: Load Balancing на Allow default gateway switching "галка" стоит ? Плюс я бы сменил PPTP на OpenVPN и в настройках openvpn-клиента на pf указал бы два remote, чтобы при недоступности первого сервера автоматом подключение устанавливалось со вторым. Все таки OpenVPN намного гибче в настройках, чем pptp\l2tp\ipsec.



  • @werter:

    @intronet:

    Примерно тоже самое, и может даже более запутанно.
    Есть два шлюза офис1(сервер впн на suse linux 10) - и офис2 (клиент впн на pfsense)
    У двух офисах по два одинаковых провайдера, когда во втором офисе падает первый канал, впн ни в какую не хочет идти по второму, говорит сервер не доступен, пока не перезагрузишь или насильно не поменяешь интерфейс в впн клиента.

    Но в ревизии пфсенсе 2.1 появилась одна особенность, когда создаешь в роутенге - группу шлюзов, то эта группа появляется в интерфейсе впн, и при падении первого впн подключается по второму и когда появляется первый канал, то впн автоматом переключается обратно.
    Я уже подумываю бэту поставить, чтоб отрабатывала.

    Во вкладке System: Advanced: Miscellaneous: Load Balancing на Allow default gateway switching "галка" стоит ? Плюс я бы сменил PPTP на OpenVPN и в настройках openvpn-клиента на pf указал бы два remote, чтобы при недоступности первого сервера автоматом подключение устанавливалось со вторым. Все таки OpenVPN намного гибче в настройках, чем pptp\l2tp\ipsec.

    На Allow default gateway switching стоит. У меня OpenVPN и стоит, и так же в настройках стоит второй адрес подключения, в этому случае всё продумано.



  • @intronet:

    Примерно тоже самое, и может даже более запутанно.
    Есть два шлюза офис1(сервер впн на suse linux 10) - и офис2 (клиент впн на pfsense)
    У двух офисах по два одинаковых провайдера, когда во втором офисе падает первый канал, впн ни в какую не хочет идти по второму, говорит сервер не доступен, пока не перезагрузишь или насильно не поменяешь интерфейс в впн клиента.

    Но в ревизии пфсенсе 2.1 появилась одна особенность, когда создаешь в роутенге - группу шлюзов, то эта группа появляется в интерфейсе впн, и при падении первого впн подключается по второму и когда появляется первый канал, то впн автоматом переключается обратно.
    Я уже подумываю бэту поставить, чтоб отрабатывала.

    наверно и мне придеться, но если бы профи в этой теме подсказали как это с помощью костыля реализовать на 2.0.х было бы замечательно :-)



  • Пока только терпеть и ждать релиза 2.1 )


Log in to reply