Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    IPSec failover

    Scheduled Pinned Locked Moved Russian
    11 Posts 3 Posters 2.0k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      Angel_19
      last edited by

      Всем доброго!

      Сейчас между двумя pfSense (2.1.5) настроен IPSec тунель, все работает исправно.
      Теперь нужно сделать резервирование интернета. Планирую это сделать с помощью роутера с USB модемом.

      Как быть тогда с IPSec тунелями? Просто настроить еще несколько? Отваливается один провайдер, роутер переключает на другого провайдера и тогда начинает работать второй тунель а первый отключается…

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Доброе.

        https://forum.pfsense.org/index.php?topic=88472.0
        https://forum.pfsense.org/index.php?topic=66676.0

        Планирую это сделать с помощью роутера с USB модемом

        Рекомендую http://tomato.groov.pl/
        Оборудование  http://tomato.groov.pl/?page_id=69 . Выбирать, ес-но, с USB.
        И да, сейчас Usb-свистки могут работать как сетевые карты. Мегафоновский M150-2 (HUAWEI E3372h) , например.
        На 4pda есть по нему ветка.

        Также , можно посмотреть что-то на MT7620 - http://forum.ixbt.com/topic.cgi?id=14:63015

        1 Reply Last reply Reply Quote 0
        • A
          Angel_19
          last edited by

          Использую роутер Zyxel - в нем уже встроено переключение между разными провайдерами (проводной и USB).
          Переключение происходит нормально и работает как и положено - когда проводной интернет не работает, начинает работать USB, когда проводной снова восстанавливается то роутер возвращается к нему.

          Будет ли вообще работать подобная схема (IPSec), если на WAN интерфейсе pfSense у меня будет не IP от провайдера, а IP от роутера?

          Т.е. сам роутер имеет IP: 10.10.76.1, на WAN pfSense я прописал IP: 10.10.76.2, шлюз и DNS: 10.10.76.1
          В роутере я сделал проброс всех портов и всех протоколов на IP который на WAN интерфейсе - на 10.10.76.2
          Верно ли все делал?

          В итоге IPSec тунель поднялся (pfSense показывал что тунель поднят), но связи с другой стороной не было…
          Т.к. все делал на горячую, и в итоге не заработало - пришлось все пока вернуть к старой схеме.

          1 Reply Last reply Reply Quote 0
          • werterW
            werter
            last edited by

            Откл. блокирование серых сетей на WAN пф.
            Покажите настройки проброса на железном роутере. Я бы wan-адрес пф (IP: 10.10.76.2) просто добавил в dmz на роутере.

            1 Reply Last reply Reply Quote 0
            • A
              Angel_19
              last edited by

              Туннель через роутер заработал…
              Проблема только в том, что когда один интернет прерывается, роутер переключает на другой, а IPSec туннель так и продолжает висеть подключен через старого провайдера.

              Dead Peer Detection - включил, но это не помогает.

              1 Reply Last reply Reply Quote 0
              • L
                LoadRunner
                last edited by

                System: Advanced: Miscellaneous
                Load Balancing Enable default gateway switching - стоит галочка?

                1 Reply Last reply Reply Quote 0
                • A
                  Angel_19
                  last edited by

                  Зачем мне менять шлюз по умолчанию если он у меня не меняется?
                  Шлюзом выступает роутер…

                  1 Reply Last reply Reply Quote 0
                  • L
                    LoadRunner
                    last edited by

                    Это не шлюз по умолчанию, а дефолтный WAN, через который идёт трафик, и если галочку не ставить, то IPsec и VPN будут ломиться всегда в WAN1.

                    1 Reply Last reply Reply Quote 0
                    • A
                      Angel_19
                      last edited by

                      А у меня и нет WAN2, у меня один WAN, роутер сам переключает интернет.

                      1 Reply Last reply Reply Quote 0
                      • A
                        Angel_19
                        last edited by

                        Т.к. в центральном филиале пришлось создать два IPSec тунеля, то у них Remote Subnet для фазы 2 одинаковы, из-за этого работает всегда только первый IPSec тунель.

                        Как это обойти?

                        1 Reply Last reply Reply Quote 0
                        • werterW
                          werter
                          last edited by

                          2 Angel_19
                          Настройте OpenVPN и не ломайте себе голову.

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.