Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN как резервный канал

    Scheduled Pinned Locked Moved Russian
    2 Posts 2 Posters 1.5k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • werterW
      werter
      last edited by

      Выручайте, други. Pfsense 2.0.1

      Суть задачи :
      Имеется отдельный корпоративный канал для связи с филиалами и 95% времени с ним проблем нет. Но иногда (в самый нужный момент, конечно) связь пропадает. Решено было поднять на стороне главного офиса OpenVPN на pfsense. Сказано - сделано, т.е. филиалы соединяются по OpenVPN, сети за сервером и за клиентами видны, данные бегают в обе стороны. И тут внезапно (ага!), дано задание все это дело м-м-м автоматизировать, т.е. чтобы при пропадание связи с филиалом по основному каналу человек (в филиале) запускал опенвпн-сессию, видел сеть за сервером , но и чтобы (важно!) главный офис видел сеть за клиентом.

      Что было сделано:
      1. Для ОпенВПН был создан отдельный интерфейс (OVPN).
      2. В System: Gateways был добавлен шлюз , в к-ом Gateway - dynamic и поставлена галка на Disable Gateway Monitoring.
      3. В System: Gateway Groups создана группа FAILOVER_GW, состоящая из двух gw - OPT1GW (основной - Tier1) и OVPN_GW (openvpn-Tier2) , где Trigger Level  - Packet Loss.
      4. В Firewall: Rules:LAN создано правило , разрешающее прохождение трафика из локальной сети в сети филиалов с явным указанием в Gateway - FAILOVER_GW.
      5. В Firewall: Rules:OVPN разрешено всё и для всех.
      6. Pfsense был перезагружен для чистоты эксперимента.

      Что это дало:
      Филиал(ы) при пропадании связи по основному каналу поднимают опенвпн-сессию и прекрасно видят сеть за сервером. Но в главном офисе ни клиент, ни сеть за ним не видны при том, что во вкладке OpenVPN: Client Specific Override ,ест-но, указано iroute <сеть за клентом>;

      Похоже, что не происходит переключение с Tier1 на Tier2 в группе FAILOVER_GW и pfsense пытается "протолкнуть" пакеты к клиенту через основной (Tier1) шлюз :(

      Для большего понимания прилагаю скриншоты :

      P.s. Allow_subnets - сети филиалов.
      P.s.s. Если при установленной удаленным клиентом сессии пробовать пинговать его или сеть за ним с машин главного офиса, то пинга нет . Если же пинговать непосредственно с pfsense , явно указав интерфейс OVPN - пинг идет и на клиента и на сеть за ним. Повторюсь, что явно проблема именно с переключением Tier1 - > Tier2.
      1.JPG
      1.JPG_thumb
      2.JPG
      2.JPG_thumb
      3.JPG
      3.JPG_thumb
      4.JPG
      4.JPG_thumb
      5.JPG
      5.JPG_thumb

      1 Reply Last reply Reply Quote 0
      • R
        rubic
        last edited by

        Нужно смотреть Status: Gateways в момент когда все это происходит. Возможно OPT1GW остается в Online. Это, кстати, довольно вероятный сценарий, если в Monitor IP на OPT1GW пусто. От головного офиса до провайдера все работает, а от провайдера до филиала - лежит, но вы этого не видите.

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.