проблемы с SIP + states в pf



  • Ситуация такая.
    Есть border router (всё на pfsense 2.1), который принимает 2 WAN канала(failover режим), и добрый десяток OpenVPN.
    По OpenVPN подключены удалённые оффисы, в них установлены sip-телефоны.

    Проблема такая…
    При падении основного WAN канала отваливается OpenVPN от филиала. В этот момент происходит логичное событие - pfSense отправляет пакеты предназначенные для филиальной сети - в свой основной шлюз, создавая в фаерволе states.
    Потом канал восстанавливается, OpenVPN подключается - но sip аппараты не хотят коннектиться, потому что астериск в главном оффисе им отвечает, но этот траффик по states уходит и дальше - в WAN порт.....
    Чистим States - всё регистрируется моментально.

    В настройках маршрутера есть такой пункт State Killing on Gateway Failure - это работает весьма странно, у меня несколько Vlan, и если падает WAN канал - у меня резетится ВЕСЬ фаервол, обрубая ВСЕ соединения через него.

    Посоветуйте как дальше жить. Будучи сисадмином я конечно могу нарисовать sh-скрипт в крон для мониторинга удалённой подсети и резета фаервола. Есть идея прописать static route - не самая лучшая идея, поскольку каждый филиал имеет резервный OpenVPN до главного маршрутера с настроенным OPSF.
    Вся эта перспектива меня удручает, не хочу кастомных решений. Есть "промышленные" решения?