Failover MULTIWAN-IPSec 2.2.2
-
Buenos días a todos,
necesito un poco de ayuda ya que no sé si es posible realizar la configuración que deseo. Tengo el siguiente escenario en laboratorio:
-
Site A(pfSense 2.2.2):
- LAN
- WAN1
- WAN2 -
Site B (pfSense 2.2.2):
- LAN
- WAN1
- WAN2
En ambos sites hay configurado un failover con un "Group Gateway" del tipo:
- WAN1 –> Tier1
- WAN2 --> Tier2
En las reglas LAN del firewall está configurada el gateway como "Group Gateway".
El Failover de salida a internet funciona perfectamente.Mi cuestión es si es posible configurar algún tipo de Failover para los túneles IPSEC, es decir, que pueda:
- o tener dos túneles simultáneos activos tipo:
WAN1-SiteA --> WAN1 SiteB
WAN2-SiteA --> WAN2 SiteB- o tener un faliover de IPSEC seleccionando como interfaces los "Group Gateway" en vez de las interfaces WAN
- o cualquier otra configuración que adicional.
Y por supuesto, que el failover sea automático y no manual.
Creo que desde la versión 2.1.5 ya podía manejarse este tipo de configuraciones pero no tengo muy claro como realizarla.Muchas gracias de antemano por sus posibles aportaciones.
-
-
Dicen que mediante DynDNS, no por agrupamiento de puertas…
https://forum.pfsense.org/index.php?topic=58784.msg379121#msg379121
Los servicios salen siempre según la tabla de rutas, https://doc.pfsense.org/index.php/Multi-WAN_and_Compatibility#Outbound_traffic_to_the_Internet
En cambio, el balanceo saliente (agrupamiento de puertas) emplea el filtro route-to del cortafuegos Packet Filter, http://www.openbsd.org/faq/pf/pools.html#outgoing
PF + Sense = pfSense
pfSense 2.2 = FreeBSD 10.1 tuneado
https://www.freebsd.org/doc/en/books/handbook/firewalls-pf.html -
Yo he intentado hacer eso un par de veces y el problema con el que me encuentro es que si no tienes Ips fijas el restablecimiento del enlace toma bastante tiempo ya que hay un nombre de DNS involucrado y esa parte de la resolucion del lado que usualmente intenta hacer la conexion le toma algo de tiempo en ocasiones actualizar.
Ojala a ti te vaya mejor.
Y si, lo hice con un DNS Dinamico. Lo que funciona muy bien es con configuraciones con OpenVPN ya que siempre es un solo lado el que hace la conexion :)
Lo mas probable es que lo este haciendo mal :( jeeje
-
Saludos mi estimado , si intentas la configuracion con ips dinamicas te invito a probar el servicio de cdmon lo he usado y funciona muy bien quizas te sirva para esto y los tiempos de respuesta como dice acriollo sean mejores ya que en tu caso o escenario especifico no lo he usado…
Atento a nuevos post
-
Hay algun tutorial para hacerlo con ips estaticas?
Gracias
-
Google failover ipsec tutorial pfsense
Según http://serverfault.com/questions/487684/ipsec-l2l-failover-between-two-pfsense-devices a partir de 2.1 IPsec permite gestionar grupos de puertas para failover.
