IPSec backup

SergeyRDW

Доброго времени суток!

есть два узла с PfSense. на первом имеем WAN1, WAN2 и локалку 10.10.10.0/24, на втором WAN3 и локалку 10.10.11.0/24.
Вопрос: можно ли настроить IPSec тунель в режиме backup? т.е. если падает WAN1 - переключаемся на WAN2, при этом если поднимется WAN1 - переключаемся обратно на него.

dvserg

Ну как-бы ничего не мешает, тема не раз обсуждалась.
И если не ошибаюсь оптимально было поднять два туннеля с разных WAN и переключаться между ними.
Поищите по форуму старые темы.

SergeyRDW

@dvserg:

Ну как-бы ничего не мешает, тема не раз обсуждалась.
И если не ошибаюсь оптимально было поднять два туннеля с разных WAN и переключаться между ними.
Поищите по форуму старые темы.

т.е. на обоих PfSense иметь по два WAN?

grommir

По два IPsec тоннеля.

SergeyRDW

@grommir:

По два IPsec тоннеля.

т.е. на одном pfsense надо WAN1 и WAN2, на другом WAN3 и WAN4 и настроить два тунеля WAN1 <-> WAN3 и WAN2 <-> WAN4?

grommir

Нет. На первом настроить два канала на wan1 и wan2, а на втром оба на wan3 и балансировку между этими ipsec каналами

SergeyRDW

@grommir:

Нет. На первом настроить два канала на wan1 и wan2, а на втром оба на wan3 и балансировку между этими ipsec каналами

именно так и настроено, и при обрыве WAN1<-> WAN3 происходит подключение к WAN2 <-> WAN3, но при возобновлении WAN1 к нему переподключение не производится.

werter

@SergeyRDW:

@grommir:

Нет. На первом настроить два канала на wan1 и wan2, а на втром оба на wan3 и балансировку между этими ipsec каналами

именно так и настроено, и при обрыве WAN1<-> WAN3 происходит подключение к WAN2 <-> WAN3, но при возобновлении WAN1 к нему переподключение не производится.

Глупое предложение, конечно, а галка в настройках pfsense типа Allow default gateway switching стоит?

SergeyRDW

@werter:

@SergeyRDW:

@grommir:

Нет. На первом настроить два канала на wan1 и wan2, а на втром оба на wan3 и балансировку между этими ipsec каналами

именно так и настроено, и при обрыве WAN1<-> WAN3 происходит подключение к WAN2 <-> WAN3, но при возобновлении WAN1 к нему переподключение не производится.

Глупое предложение, конечно, а галка в настройках pfsense типа Allow default gateway switching стоит?

конечно же стоит, шлюз по умолчанию перескакивает или к WAN1 или к WAN2, и сам интернет работает.

werter

Покажите скрины настроек - fw (LAN\WAN\IPSEC), gateway groups, etc

SergeyRDW

@werter:

Покажите скрины настроек - fw (LAN\WAN\IPSEC), gateway groups, etc

в данный момент нет возможности, но скажу сразу на обоих PfSense в Firewall для LAN, WAN*, IPSec разрешено все ото всюду во все стороны.

SergeyRDW

@SergeyRDW:

@werter:

Покажите скрины настроек - fw (LAN\WAN\IPSEC), gateway groups, etc

в данный момент нет возможности, но скажу сразу на обоих PfSense в Firewall для LAN, WAN*, IPSec разрешено все ото всюду во все стороны.

кому интересно, с версией pfsense 2.1.5 разобрался - при переключении c WAN1 <-> WAN3 на WAN2 <-> WAN3 на машине с WAN3 не удалялась старая настройка SPD (см. Status: IPsec: SPD) и не появлялась новая,
вылечилось методом установки "Policy Generation" = "on" в секции "VPN: IPsec: Edit Phase 1", по умолчанию "Policy Generation" = "default".
Но в pfsense версии 2.2 этой опции ненашел, и проблема опять с SPD. Кто знает как релизовать мой вопрос в версии 2.2 ?

SergeyRDW

@SergeyRDW:

@SergeyRDW:

@werter:

Покажите скрины настроек - fw (LAN\WAN\IPSEC), gateway groups, etc

в данный момент нет возможности, но скажу сразу на обоих PfSense в Firewall для LAN, WAN*, IPSec разрешено все ото всюду во все стороны.

кому интересно, с версией pfsense 2.1.5 разобрался - при переключении c WAN1 <-> WAN3 на WAN2 <-> WAN3 на машине с WAN3 не удалялась старая настройка SPD (см. Status: IPsec: SPD) и не появлялась новая,
вылечилось методом установки "Policy Generation" = "on" в секции "VPN: IPsec: Edit Phase 1", по умолчанию "Policy Generation" = "default".
Но в pfsense версии 2.2 этой опции ненашел, и проблема опять с SPD. Кто знает как релизовать мой вопрос в версии 2.2 ?

Всем , привет!
В продолжении темы. Теперь следующий вопрос:
При обрыве основного канала WAN1 <-> WAN3 происходит переключение на резервный WAN2 <-> WAN3, и все нормально работает,
а далее при переключении с резервного WAN2 <-> WAN3 на основной WAN1 <-> WAN3 соединение сначала устанавливается (секунд на 10-15), а потом "падает", хотя в логах видно что есть стабильное подключение по основному каналу, WAN1 и WAN2 объединены в группу, и в настройках указанно использовать именно эту группу.
НО при переносе конфига на другой pfsense все начинает нормально работать (переключение между обоими каналами), с единственным отличием, что на другом pfsense "убивается" не существующий интерфейс (на одну сетку мешьше), и "убиваются" "Virtual IP" созданные в "Firewall: Virtual IP Address" - "IP Alias".

подскажите что не так? :'(