IPSec failover



  • Всем доброго!

    Сейчас между двумя pfSense (2.1.5) настроен IPSec тунель, все работает исправно.
    Теперь нужно сделать резервирование интернета. Планирую это сделать с помощью роутера с USB модемом.

    Как быть тогда с IPSec тунелями? Просто настроить еще несколько? Отваливается один провайдер, роутер переключает на другого провайдера и тогда начинает работать второй тунель а первый отключается…



  • Доброе.

    https://forum.pfsense.org/index.php?topic=88472.0
    https://forum.pfsense.org/index.php?topic=66676.0

    Планирую это сделать с помощью роутера с USB модемом

    Рекомендую http://tomato.groov.pl/
    Оборудование  http://tomato.groov.pl/?page_id=69 . Выбирать, ес-но, с USB.
    И да, сейчас Usb-свистки могут работать как сетевые карты. Мегафоновский M150-2 (HUAWEI E3372h) , например.
    На 4pda есть по нему ветка.

    Также , можно посмотреть что-то на MT7620 - http://forum.ixbt.com/topic.cgi?id=14:63015



  • Использую роутер Zyxel - в нем уже встроено переключение между разными провайдерами (проводной и USB).
    Переключение происходит нормально и работает как и положено - когда проводной интернет не работает, начинает работать USB, когда проводной снова восстанавливается то роутер возвращается к нему.

    Будет ли вообще работать подобная схема (IPSec), если на WAN интерфейсе pfSense у меня будет не IP от провайдера, а IP от роутера?

    Т.е. сам роутер имеет IP: 10.10.76.1, на WAN pfSense я прописал IP: 10.10.76.2, шлюз и DNS: 10.10.76.1
    В роутере я сделал проброс всех портов и всех протоколов на IP который на WAN интерфейсе - на 10.10.76.2
    Верно ли все делал?

    В итоге IPSec тунель поднялся (pfSense показывал что тунель поднят), но связи с другой стороной не было…
    Т.к. все делал на горячую, и в итоге не заработало - пришлось все пока вернуть к старой схеме.



  • Откл. блокирование серых сетей на WAN пф.
    Покажите настройки проброса на железном роутере. Я бы wan-адрес пф (IP: 10.10.76.2) просто добавил в dmz на роутере.



  • Туннель через роутер заработал…
    Проблема только в том, что когда один интернет прерывается, роутер переключает на другой, а IPSec туннель так и продолжает висеть подключен через старого провайдера.

    Dead Peer Detection - включил, но это не помогает.



  • System: Advanced: Miscellaneous
    Load Balancing Enable default gateway switching - стоит галочка?



  • Зачем мне менять шлюз по умолчанию если он у меня не меняется?
    Шлюзом выступает роутер…



  • Это не шлюз по умолчанию, а дефолтный WAN, через который идёт трафик, и если галочку не ставить, то IPsec и VPN будут ломиться всегда в WAN1.



  • А у меня и нет WAN2, у меня один WAN, роутер сам переключает интернет.



  • Т.к. в центральном филиале пришлось создать два IPSec тунеля, то у них Remote Subnet для фазы 2 одинаковы, из-за этого работает всегда только первый IPSec тунель.

    Как это обойти?



  • 2 Angel_19
    Настройте OpenVPN и не ломайте себе голову.


Log in to reply