Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [2.0.2-RELEASE] dual wan + openvpn

    Scheduled Pinned Locked Moved Russian
    9 Posts 5 Posters 4.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • M Offline
      mrc
      last edited by

      Для гарантированного наличия дома интернета (основной ломается редко, но на пару дней, что не устраивало) подключил второго провайдера.
      Оба предоставляют доступ по PPPoE.

      По мануалу http://doc.pfsense.org/index.php/Multi-WAN_2.0 сделал gateway group из этих двух PPPoE-подключений, обеим указал Tier 1
      В firewall rules сделал правило

      Запустил для проверки торрент, оба канала более-менее равномерно нагрузились трафиком.

      Теперь собственно проблема.
      Кроме вышеописанного есть еще подключение через OpenVPN до работы.
      После настройки балансировки пакеты вместо того чтобы уходить в OpenVPN-туннель, уходят вместо со всеми остальными в gateway group и по назначению естественно не доходят.

      Как направить OpenVPN-трафик (destination - 172.17.0.0/16, 192.168.0.0/22) согласно таблице маршрутизации?

      Прочитал http://doc.pfsense.org/index.php/Multi-WAN_2.0#Policy_Route_Negation - и тупо сижу и не понимаю как сделать :(

      Помогите пожалуйста…

      1 Reply Last reply Reply Quote 0
      • D Offline
        dvserg
        last edited by

        Правила с указанием gatewey имеют приоритет над таблицей роутинга.
        Попробуйте на LAN создать правило для вашей работы перед правилом 'load balance', принудительно указав в качестве gateway OpenVPN.

        SquidGuardDoc EN  RU Tutorial
        Localization ru_PFSense

        1 Reply Last reply Reply Quote 0
        • M Offline
          mrc
          last edited by

          Получилось, спасибо.

          1 Reply Last reply Reply Quote 0
          • D Offline
            dvv06
            last edited by

            @mrc:

            Получилось, спасибо.

            Примерно похожая ситуация (не стал создавать тему, надеюсь на дельній совет, тем более автору темы помогли :-) )
            ситуация следующая
            wan1 = pppoe (bridge) (ip привязан через no-ip.org)
            wan2 = static ip (белый) (подключили недавно отсюда и проблема)

            wan2 -> wan1 faloiver

            lan = 192.168.111.0/24

            openvpn server работал по udp на стандартном порту при wan1. После подключения wan2 появилась задача:
            создать подключения к опенвпн серверу через доступного в данный момент провайдера wan2 / wan1
            для этого было сделано:
            1. опенвпн сервер переведен с udp на tcp c прослушиванием any интерфейсов (хотелось бы канечно чтоб только wan1 и wan2, но не суть)
            2. на интерфейсе wan2 продублировано созданое автоматом правило которое было на wan1 и заменен протокол upd на tcp
            3. на интерфейсе openvpn сервера в gateway прописан MyMultiWAN (отказоустойчивое переключение между wan1 <-> wan2)

            теперь получилось в итоге:
            подключается только к wan2 (т.к gateway его я назначил по умолчанию) как сделать так чтобы при отсутствии интернета на wan2 клиент впн автоматом подключался к wan1
            в конфиг файле клиента-впн вместо remote mywhite_ip_wan2 1194 tcp написал remote mydynamic_ip_wan1.no-ip.org 1194 tcp, подключения не происходит.
            и еще одна странность с отказоустойчивым мульти-wan. Если wan2 = down то переключается на wan1 - все ок, а вот при появлении интернета на wan2 - обратного переподключения не происходит, хотя wan2 - выставлен  более весомым (вес=1) чем wan1 (вес=2)

            Подскажите куда копать, делал по статье
            http://macrodmin.blogspot.com/2012/02/multiwan-pfsense.html?showComment=1366096132665#c4317568251364919413

            и еще одна

            1 Reply Last reply Reply Quote 0
            • I Offline
              intronet
              last edited by

              Примерно тоже самое, и может даже более запутанно.
              Есть два шлюза офис1(сервер впн на suse linux 10) - и офис2 (клиент впн на pfsense)
              У двух офисах по два одинаковых провайдера, когда во втором офисе падает первый канал, впн ни в какую не хочет идти по второму, говорит сервер не доступен, пока не перезагрузишь или насильно не поменяешь интерфейс в впн клиента.

              Но в ревизии пфсенсе 2.1 появилась одна особенность, когда создаешь в роутенге - группу шлюзов, то эта группа появляется в интерфейсе впн, и при падении первого впн подключается по второму и когда появляется первый канал, то впн автоматом переключается обратно.
              Я уже подумываю бэту поставить, чтоб отрабатывала.

              1 Reply Last reply Reply Quote 0
              • werterW Offline
                werter
                last edited by

                @intronet:

                Примерно тоже самое, и может даже более запутанно.
                Есть два шлюза офис1(сервер впн на suse linux 10) - и офис2 (клиент впн на pfsense)
                У двух офисах по два одинаковых провайдера, когда во втором офисе падает первый канал, впн ни в какую не хочет идти по второму, говорит сервер не доступен, пока не перезагрузишь или насильно не поменяешь интерфейс в впн клиента.

                Но в ревизии пфсенсе 2.1 появилась одна особенность, когда создаешь в роутенге - группу шлюзов, то эта группа появляется в интерфейсе впн, и при падении первого впн подключается по второму и когда появляется первый канал, то впн автоматом переключается обратно.
                Я уже подумываю бэту поставить, чтоб отрабатывала.

                Во вкладке System: Advanced: Miscellaneous: Load Balancing на Allow default gateway switching "галка" стоит ? Плюс я бы сменил PPTP на OpenVPN и в настройках openvpn-клиента на pf указал бы два remote, чтобы при недоступности первого сервера автоматом подключение устанавливалось со вторым. Все таки OpenVPN намного гибче в настройках, чем pptp\l2tp\ipsec.

                1 Reply Last reply Reply Quote 0
                • I Offline
                  intronet
                  last edited by

                  @werter:

                  @intronet:

                  Примерно тоже самое, и может даже более запутанно.
                  Есть два шлюза офис1(сервер впн на suse linux 10) - и офис2 (клиент впн на pfsense)
                  У двух офисах по два одинаковых провайдера, когда во втором офисе падает первый канал, впн ни в какую не хочет идти по второму, говорит сервер не доступен, пока не перезагрузишь или насильно не поменяешь интерфейс в впн клиента.

                  Но в ревизии пфсенсе 2.1 появилась одна особенность, когда создаешь в роутенге - группу шлюзов, то эта группа появляется в интерфейсе впн, и при падении первого впн подключается по второму и когда появляется первый канал, то впн автоматом переключается обратно.
                  Я уже подумываю бэту поставить, чтоб отрабатывала.

                  Во вкладке System: Advanced: Miscellaneous: Load Balancing на Allow default gateway switching "галка" стоит ? Плюс я бы сменил PPTP на OpenVPN и в настройках openvpn-клиента на pf указал бы два remote, чтобы при недоступности первого сервера автоматом подключение устанавливалось со вторым. Все таки OpenVPN намного гибче в настройках, чем pptp\l2tp\ipsec.

                  На Allow default gateway switching стоит. У меня OpenVPN и стоит, и так же в настройках стоит второй адрес подключения, в этому случае всё продумано.

                  1 Reply Last reply Reply Quote 0
                  • D Offline
                    dvv06
                    last edited by

                    @intronet:

                    Примерно тоже самое, и может даже более запутанно.
                    Есть два шлюза офис1(сервер впн на suse linux 10) - и офис2 (клиент впн на pfsense)
                    У двух офисах по два одинаковых провайдера, когда во втором офисе падает первый канал, впн ни в какую не хочет идти по второму, говорит сервер не доступен, пока не перезагрузишь или насильно не поменяешь интерфейс в впн клиента.

                    Но в ревизии пфсенсе 2.1 появилась одна особенность, когда создаешь в роутенге - группу шлюзов, то эта группа появляется в интерфейсе впн, и при падении первого впн подключается по второму и когда появляется первый канал, то впн автоматом переключается обратно.
                    Я уже подумываю бэту поставить, чтоб отрабатывала.

                    наверно и мне придеться, но если бы профи в этой теме подсказали как это с помощью костыля реализовать на 2.0.х было бы замечательно :-)

                    1 Reply Last reply Reply Quote 0
                    • I Offline
                      intronet
                      last edited by

                      Пока только терпеть и ждать релиза 2.1 )

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.