1. Home
  2. pfSense International Support
  3. Russian
  4. IPSec backup

IPSec backup

  • S

    Доброго времени суток!

    есть два узла с PfSense. на первом имеем WAN1, WAN2 и локалку 10.10.10.0/24, на втором WAN3 и локалку 10.10.11.0/24.
    Вопрос: можно ли настроить IPSec тунель в режиме backup? т.е. если падает WAN1 - переключаемся на WAN2, при этом если поднимется WAN1 - переключаемся обратно на него.

    0
  • D

    Ну как-бы ничего не мешает, тема не раз обсуждалась.
    И если не ошибаюсь оптимально было поднять два туннеля с разных WAN и переключаться между ними.
    Поищите по форуму старые темы.

    0
  • S

    @dvserg:

    Ну как-бы ничего не мешает, тема не раз обсуждалась.
    И если не ошибаюсь оптимально было поднять два туннеля с разных WAN и переключаться между ними.
    Поищите по форуму старые темы.

    т.е. на обоих PfSense иметь по два WAN?

    0
  • G

    По два IPsec тоннеля.

    0
  • S

    @grommir:

    По два IPsec тоннеля.

    т.е. на одном pfsense надо WAN1 и WAN2, на другом WAN3 и WAN4 и настроить два тунеля WAN1 <-> WAN3 и WAN2 <-> WAN4?

    0
  • G

    Нет. На первом настроить два канала на wan1 и wan2, а на втром оба на wan3 и балансировку между этими ipsec каналами

    0
  • S

    @grommir:

    Нет. На первом настроить два канала на wan1 и wan2, а на втром оба на wan3 и балансировку между этими ipsec каналами

    именно так и настроено, и при обрыве WAN1<-> WAN3 происходит подключение к WAN2 <-> WAN3, но при возобновлении WAN1 к нему переподключение не производится.

    0
  • werter

    @SergeyRDW:

    @grommir:

    Нет. На первом настроить два канала на wan1 и wan2, а на втром оба на wan3 и балансировку между этими ipsec каналами

    именно так и настроено, и при обрыве WAN1<-> WAN3 происходит подключение к WAN2 <-> WAN3, но при возобновлении WAN1 к нему переподключение не производится.

    Глупое предложение, конечно, а галка в настройках pfsense типа Allow default gateway switching стоит?

    0
  • S

    @werter:

    @SergeyRDW:

    @grommir:

    Нет. На первом настроить два канала на wan1 и wan2, а на втром оба на wan3 и балансировку между этими ipsec каналами

    именно так и настроено, и при обрыве WAN1<-> WAN3 происходит подключение к WAN2 <-> WAN3, но при возобновлении WAN1 к нему переподключение не производится.

    Глупое предложение, конечно, а галка в настройках pfsense типа Allow default gateway switching стоит?

    конечно же стоит, шлюз по умолчанию перескакивает или к WAN1 или к WAN2, и сам интернет работает.

    0
  • werter

    Покажите скрины настроек - fw (LAN\WAN\IPSEC), gateway groups, etc

    0
  • S

    @werter:

    Покажите скрины настроек - fw (LAN\WAN\IPSEC), gateway groups, etc

    в данный момент нет возможности, но скажу сразу на обоих PfSense в Firewall для LAN, WAN*, IPSec разрешено все ото всюду во все стороны.

    0
  • S

    @SergeyRDW:

    @werter:

    Покажите скрины настроек - fw (LAN\WAN\IPSEC), gateway groups, etc

    в данный момент нет возможности, но скажу сразу на обоих PfSense в Firewall для LAN, WAN*, IPSec разрешено все ото всюду во все стороны.

    кому интересно, с версией pfsense 2.1.5 разобрался - при переключении c WAN1 <-> WAN3 на WAN2 <-> WAN3 на машине с WAN3 не удалялась старая настройка SPD (см. Status: IPsec: SPD) и не появлялась новая,
    вылечилось методом установки "Policy Generation" = "on" в секции "VPN: IPsec: Edit Phase 1", по умолчанию "Policy Generation" = "default".
    Но в pfsense версии 2.2 этой опции ненашел, и проблема опять с SPD. Кто знает как релизовать мой вопрос в версии 2.2 ?

    0
  • S

    @SergeyRDW:

    @SergeyRDW:

    @werter:

    Покажите скрины настроек - fw (LAN\WAN\IPSEC), gateway groups, etc

    в данный момент нет возможности, но скажу сразу на обоих PfSense в Firewall для LAN, WAN*, IPSec разрешено все ото всюду во все стороны.

    кому интересно, с версией pfsense 2.1.5 разобрался - при переключении c WAN1 <-> WAN3 на WAN2 <-> WAN3 на машине с WAN3 не удалялась старая настройка SPD (см. Status: IPsec: SPD) и не появлялась новая,
    вылечилось методом установки "Policy Generation" = "on" в секции "VPN: IPsec: Edit Phase 1", по умолчанию "Policy Generation" = "default".
    Но в pfsense версии 2.2 этой опции ненашел, и проблема опять с SPD. Кто знает как релизовать мой вопрос в версии 2.2 ?

    Всем , привет!
    В продолжении темы. Теперь следующий вопрос:
    При обрыве основного канала WAN1 <-> WAN3 происходит переключение на резервный WAN2 <-> WAN3, и все нормально работает,
    а далее при переключении с резервного WAN2 <-> WAN3 на основной WAN1 <-> WAN3 соединение сначала устанавливается (секунд на 10-15), а потом "падает", хотя в логах видно что есть стабильное подключение по основному каналу, WAN1 и WAN2 объединены в группу, и в настройках указанно использовать именно эту группу.
    НО при переносе конфига на другой pfsense все начинает нормально работать (переключение между обоими каналами), с единственным отличием, что на другом pfsense "убивается" не существующий интерфейс (на одну сетку мешьше), и "убиваются" "Virtual IP" созданные в "Firewall: Virtual IP Address" - "IP Alias".

    подскажите что не так? :'(

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

© 2020 Rubicon Communications, LLC | Privacy Policy