OpenVPN как резервный канал
-
Выручайте, други. Pfsense 2.0.1
Суть задачи :
Имеется отдельный корпоративный канал для связи с филиалами и 95% времени с ним проблем нет. Но иногда (в самый нужный момент, конечно) связь пропадает. Решено было поднять на стороне главного офиса OpenVPN на pfsense. Сказано - сделано, т.е. филиалы соединяются по OpenVPN, сети за сервером и за клиентами видны, данные бегают в обе стороны. И тут внезапно (ага!), дано задание все это дело м-м-м автоматизировать, т.е. чтобы при пропадание связи с филиалом по основному каналу человек (в филиале) запускал опенвпн-сессию, видел сеть за сервером , но и чтобы (важно!) главный офис видел сеть за клиентом.Что было сделано:
1. Для ОпенВПН был создан отдельный интерфейс (OVPN).
2. В System: Gateways был добавлен шлюз , в к-ом Gateway - dynamic и поставлена галка на Disable Gateway Monitoring.
3. В System: Gateway Groups создана группа FAILOVER_GW, состоящая из двух gw - OPT1GW (основной - Tier1) и OVPN_GW (openvpn-Tier2) , где Trigger Level - Packet Loss.
4. В Firewall: Rules:LAN создано правило , разрешающее прохождение трафика из локальной сети в сети филиалов с явным указанием в Gateway - FAILOVER_GW.
5. В Firewall: Rules:OVPN разрешено всё и для всех.
6. Pfsense был перезагружен для чистоты эксперимента.Что это дало:
Филиал(ы) при пропадании связи по основному каналу поднимают опенвпн-сессию и прекрасно видят сеть за сервером. Но в главном офисе ни клиент, ни сеть за ним не видны при том, что во вкладке OpenVPN: Client Specific Override ,ест-но, указано iroute <сеть за клентом>;Похоже, что не происходит переключение с Tier1 на Tier2 в группе FAILOVER_GW и pfsense пытается "протолкнуть" пакеты к клиенту через основной (Tier1) шлюз :(
Для большего понимания прилагаю скриншоты :
P.s. Allow_subnets - сети филиалов.
P.s.s. Если при установленной удаленным клиентом сессии пробовать пинговать его или сеть за ним с машин главного офиса, то пинга нет . Если же пинговать непосредственно с pfsense , явно указав интерфейс OVPN - пинг идет и на клиента и на сеть за ним. Повторюсь, что явно проблема именно с переключением Tier1 - > Tier2.
-
Нужно смотреть Status: Gateways в момент когда все это происходит. Возможно OPT1GW остается в Online. Это, кстати, довольно вероятный сценарий, если в Monitor IP на OPT1GW пусто. От головного офиса до провайдера все работает, а от провайдера до филиала - лежит, но вы этого не видите.