[2.0.2-RELEASE] dual wan + openvpn
-
Для гарантированного наличия дома интернета (основной ломается редко, но на пару дней, что не устраивало) подключил второго провайдера.
Оба предоставляют доступ по PPPoE.По мануалу http://doc.pfsense.org/index.php/Multi-WAN_2.0 сделал gateway group из этих двух PPPoE-подключений, обеим указал Tier 1
В firewall rules сделал правило
Запустил для проверки торрент, оба канала более-менее равномерно нагрузились трафиком.Теперь собственно проблема.
Кроме вышеописанного есть еще подключение через OpenVPN до работы.
После настройки балансировки пакеты вместо того чтобы уходить в OpenVPN-туннель, уходят вместо со всеми остальными в gateway group и по назначению естественно не доходят.Как направить OpenVPN-трафик (destination - 172.17.0.0/16, 192.168.0.0/22) согласно таблице маршрутизации?
Прочитал http://doc.pfsense.org/index.php/Multi-WAN_2.0#Policy_Route_Negation - и тупо сижу и не понимаю как сделать :(
Помогите пожалуйста…
-
Правила с указанием gatewey имеют приоритет над таблицей роутинга.
Попробуйте на LAN создать правило для вашей работы перед правилом 'load balance', принудительно указав в качестве gateway OpenVPN. -
Получилось, спасибо.
-
@mrc:
Получилось, спасибо.
Примерно похожая ситуация (не стал создавать тему, надеюсь на дельній совет, тем более автору темы помогли :-) )
ситуация следующая
wan1 = pppoe (bridge) (ip привязан через no-ip.org)
wan2 = static ip (белый) (подключили недавно отсюда и проблема)wan2 -> wan1 faloiver
lan = 192.168.111.0/24
openvpn server работал по udp на стандартном порту при wan1. После подключения wan2 появилась задача:
создать подключения к опенвпн серверу через доступного в данный момент провайдера wan2 / wan1
для этого было сделано:
1. опенвпн сервер переведен с udp на tcp c прослушиванием any интерфейсов (хотелось бы канечно чтоб только wan1 и wan2, но не суть)
2. на интерфейсе wan2 продублировано созданое автоматом правило которое было на wan1 и заменен протокол upd на tcp
3. на интерфейсе openvpn сервера в gateway прописан MyMultiWAN (отказоустойчивое переключение между wan1 <-> wan2)теперь получилось в итоге:
подключается только к wan2 (т.к gateway его я назначил по умолчанию) как сделать так чтобы при отсутствии интернета на wan2 клиент впн автоматом подключался к wan1
в конфиг файле клиента-впн вместо remote mywhite_ip_wan2 1194 tcp написал remote mydynamic_ip_wan1.no-ip.org 1194 tcp, подключения не происходит.
и еще одна странность с отказоустойчивым мульти-wan. Если wan2 = down то переключается на wan1 - все ок, а вот при появлении интернета на wan2 - обратного переподключения не происходит, хотя wan2 - выставлен более весомым (вес=1) чем wan1 (вес=2)Подскажите куда копать, делал по статье
http://macrodmin.blogspot.com/2012/02/multiwan-pfsense.html?showComment=1366096132665#c4317568251364919413и еще одна
-
Примерно тоже самое, и может даже более запутанно.
Есть два шлюза офис1(сервер впн на suse linux 10) - и офис2 (клиент впн на pfsense)
У двух офисах по два одинаковых провайдера, когда во втором офисе падает первый канал, впн ни в какую не хочет идти по второму, говорит сервер не доступен, пока не перезагрузишь или насильно не поменяешь интерфейс в впн клиента.Но в ревизии пфсенсе 2.1 появилась одна особенность, когда создаешь в роутенге - группу шлюзов, то эта группа появляется в интерфейсе впн, и при падении первого впн подключается по второму и когда появляется первый канал, то впн автоматом переключается обратно.
Я уже подумываю бэту поставить, чтоб отрабатывала. -
Примерно тоже самое, и может даже более запутанно.
Есть два шлюза офис1(сервер впн на suse linux 10) - и офис2 (клиент впн на pfsense)
У двух офисах по два одинаковых провайдера, когда во втором офисе падает первый канал, впн ни в какую не хочет идти по второму, говорит сервер не доступен, пока не перезагрузишь или насильно не поменяешь интерфейс в впн клиента.Но в ревизии пфсенсе 2.1 появилась одна особенность, когда создаешь в роутенге - группу шлюзов, то эта группа появляется в интерфейсе впн, и при падении первого впн подключается по второму и когда появляется первый канал, то впн автоматом переключается обратно.
Я уже подумываю бэту поставить, чтоб отрабатывала.Во вкладке System: Advanced: Miscellaneous: Load Balancing на Allow default gateway switching "галка" стоит ? Плюс я бы сменил PPTP на OpenVPN и в настройках openvpn-клиента на pf указал бы два remote, чтобы при недоступности первого сервера автоматом подключение устанавливалось со вторым. Все таки OpenVPN намного гибче в настройках, чем pptp\l2tp\ipsec.
-
Примерно тоже самое, и может даже более запутанно.
Есть два шлюза офис1(сервер впн на suse linux 10) - и офис2 (клиент впн на pfsense)
У двух офисах по два одинаковых провайдера, когда во втором офисе падает первый канал, впн ни в какую не хочет идти по второму, говорит сервер не доступен, пока не перезагрузишь или насильно не поменяешь интерфейс в впн клиента.Но в ревизии пфсенсе 2.1 появилась одна особенность, когда создаешь в роутенге - группу шлюзов, то эта группа появляется в интерфейсе впн, и при падении первого впн подключается по второму и когда появляется первый канал, то впн автоматом переключается обратно.
Я уже подумываю бэту поставить, чтоб отрабатывала.Во вкладке System: Advanced: Miscellaneous: Load Balancing на Allow default gateway switching "галка" стоит ? Плюс я бы сменил PPTP на OpenVPN и в настройках openvpn-клиента на pf указал бы два remote, чтобы при недоступности первого сервера автоматом подключение устанавливалось со вторым. Все таки OpenVPN намного гибче в настройках, чем pptp\l2tp\ipsec.
На Allow default gateway switching стоит. У меня OpenVPN и стоит, и так же в настройках стоит второй адрес подключения, в этому случае всё продумано.
-
Примерно тоже самое, и может даже более запутанно.
Есть два шлюза офис1(сервер впн на suse linux 10) - и офис2 (клиент впн на pfsense)
У двух офисах по два одинаковых провайдера, когда во втором офисе падает первый канал, впн ни в какую не хочет идти по второму, говорит сервер не доступен, пока не перезагрузишь или насильно не поменяешь интерфейс в впн клиента.Но в ревизии пфсенсе 2.1 появилась одна особенность, когда создаешь в роутенге - группу шлюзов, то эта группа появляется в интерфейсе впн, и при падении первого впн подключается по второму и когда появляется первый канал, то впн автоматом переключается обратно.
Я уже подумываю бэту поставить, чтоб отрабатывала.наверно и мне придеться, но если бы профи в этой теме подсказали как это с помощью костыля реализовать на 2.0.х было бы замечательно :-)
-
Пока только терпеть и ждать релиза 2.1 )