Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPSec backup

    Scheduled Pinned Locked Moved Russian
    13 Posts 4 Posters 2.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      SergeyRDW
      last edited by

      Доброго времени суток!

      есть два узла с PfSense. на первом имеем WAN1, WAN2 и локалку 10.10.10.0/24, на втором WAN3 и локалку 10.10.11.0/24.
      Вопрос: можно ли настроить IPSec тунель в режиме backup? т.е. если падает WAN1 - переключаемся на WAN2, при этом если поднимется WAN1 - переключаемся обратно на него.

      1 Reply Last reply Reply Quote 0
      • D
        dvserg
        last edited by

        Ну как-бы ничего не мешает, тема не раз обсуждалась.
        И если не ошибаюсь оптимально было поднять два туннеля с разных WAN и переключаться между ними.
        Поищите по форуму старые темы.

        SquidGuardDoc EN  RU Tutorial
        Localization ru_PFSense

        1 Reply Last reply Reply Quote 0
        • S
          SergeyRDW
          last edited by

          @dvserg:

          Ну как-бы ничего не мешает, тема не раз обсуждалась.
          И если не ошибаюсь оптимально было поднять два туннеля с разных WAN и переключаться между ними.
          Поищите по форуму старые темы.

          т.е. на обоих PfSense иметь по два WAN?

          1 Reply Last reply Reply Quote 0
          • G
            grommir
            last edited by

            По два IPsec тоннеля.

            1 Reply Last reply Reply Quote 0
            • S
              SergeyRDW
              last edited by

              @grommir:

              По два IPsec тоннеля.

              т.е. на одном pfsense надо WAN1 и WAN2, на другом WAN3 и WAN4 и настроить два тунеля WAN1 <-> WAN3 и WAN2 <-> WAN4?

              1 Reply Last reply Reply Quote 0
              • G
                grommir
                last edited by

                Нет. На первом настроить два канала на wan1 и wan2, а на втром оба на wan3 и балансировку между этими ipsec каналами

                1 Reply Last reply Reply Quote 0
                • S
                  SergeyRDW
                  last edited by

                  @grommir:

                  Нет. На первом настроить два канала на wan1 и wan2, а на втром оба на wan3 и балансировку между этими ipsec каналами

                  именно так и настроено, и при обрыве WAN1<-> WAN3 происходит подключение к WAN2 <-> WAN3, но при возобновлении WAN1 к нему переподключение не производится.

                  1 Reply Last reply Reply Quote 0
                  • werterW
                    werter
                    last edited by

                    @SergeyRDW:

                    @grommir:

                    Нет. На первом настроить два канала на wan1 и wan2, а на втром оба на wan3 и балансировку между этими ipsec каналами

                    именно так и настроено, и при обрыве WAN1<-> WAN3 происходит подключение к WAN2 <-> WAN3, но при возобновлении WAN1 к нему переподключение не производится.

                    Глупое предложение, конечно, а галка в настройках pfsense типа Allow default gateway switching стоит?

                    1 Reply Last reply Reply Quote 0
                    • S
                      SergeyRDW
                      last edited by

                      @werter:

                      @SergeyRDW:

                      @grommir:

                      Нет. На первом настроить два канала на wan1 и wan2, а на втром оба на wan3 и балансировку между этими ipsec каналами

                      именно так и настроено, и при обрыве WAN1<-> WAN3 происходит подключение к WAN2 <-> WAN3, но при возобновлении WAN1 к нему переподключение не производится.

                      Глупое предложение, конечно, а галка в настройках pfsense типа Allow default gateway switching стоит?

                      конечно же стоит, шлюз по умолчанию перескакивает или к WAN1 или к WAN2, и сам интернет работает.

                      1 Reply Last reply Reply Quote 0
                      • werterW
                        werter
                        last edited by

                        Покажите скрины настроек - fw (LAN\WAN\IPSEC), gateway groups, etc

                        1 Reply Last reply Reply Quote 0
                        • S
                          SergeyRDW
                          last edited by

                          @werter:

                          Покажите скрины настроек - fw (LAN\WAN\IPSEC), gateway groups, etc

                          в данный момент нет возможности, но скажу сразу на обоих PfSense в Firewall для LAN, WAN*, IPSec разрешено все ото всюду во все стороны.

                          1 Reply Last reply Reply Quote 0
                          • S
                            SergeyRDW
                            last edited by

                            @SergeyRDW:

                            @werter:

                            Покажите скрины настроек - fw (LAN\WAN\IPSEC), gateway groups, etc

                            в данный момент нет возможности, но скажу сразу на обоих PfSense в Firewall для LAN, WAN*, IPSec разрешено все ото всюду во все стороны.

                            кому интересно, с версией pfsense 2.1.5 разобрался - при переключении c WAN1 <-> WAN3 на WAN2 <-> WAN3 на машине с WAN3 не удалялась старая настройка SPD (см. Status: IPsec: SPD) и не появлялась новая,
                            вылечилось методом установки "Policy Generation" = "on" в секции "VPN: IPsec: Edit Phase 1", по умолчанию "Policy Generation" = "default".
                            Но в pfsense версии 2.2 этой опции ненашел, и проблема опять с SPD. Кто знает как релизовать мой вопрос в версии 2.2 ?

                            1 Reply Last reply Reply Quote 0
                            • S
                              SergeyRDW
                              last edited by

                              @SergeyRDW:

                              @SergeyRDW:

                              @werter:

                              Покажите скрины настроек - fw (LAN\WAN\IPSEC), gateway groups, etc

                              в данный момент нет возможности, но скажу сразу на обоих PfSense в Firewall для LAN, WAN*, IPSec разрешено все ото всюду во все стороны.

                              кому интересно, с версией pfsense 2.1.5 разобрался - при переключении c WAN1 <-> WAN3 на WAN2 <-> WAN3 на машине с WAN3 не удалялась старая настройка SPD (см. Status: IPsec: SPD) и не появлялась новая,
                              вылечилось методом установки "Policy Generation" = "on" в секции "VPN: IPsec: Edit Phase 1", по умолчанию "Policy Generation" = "default".
                              Но в pfsense версии 2.2 этой опции ненашел, и проблема опять с SPD. Кто знает как релизовать мой вопрос в версии 2.2 ?

                              Всем , привет!
                              В продолжении темы. Теперь следующий вопрос:
                              При обрыве основного канала WAN1 <-> WAN3 происходит переключение на резервный WAN2 <-> WAN3, и все нормально работает,
                              а далее при переключении с резервного WAN2 <-> WAN3 на основной WAN1 <-> WAN3 соединение сначала устанавливается (секунд на 10-15), а потом "падает", хотя в логах видно что есть стабильное подключение по основному каналу, WAN1 и WAN2 объединены в группу, и в настройках указанно использовать именно эту группу.
                              НО при переносе конфига на другой pfsense все начинает нормально работать (переключение между обоими каналами), с единственным отличием, что на другом pfsense "убивается" не существующий интерфейс (на одну сетку мешьше), и "убиваются" "Virtual IP" созданные в "Firewall: Virtual IP Address" - "IP Alias".

                              подскажите что не так? :'(

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.