Jump to content
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

Резервирование IPSec туннеля.

feoser
 Share

Recommended Posts

feoser Advanced Member

feoser

Posted
Posted

Дома находится в роли роутера ПК с Керио, он имеет двух независимых провайдеров с фикс IP у каждого, к нему с удаленных точек подключаются по IPSec туннелям кеенетики, иногда основной провайдер падает (бывает и на пол дня), весь вопрос, когда упал, нем заешь на сколько, приходится на удаленные кеенетики заходить по KeenDNS и отключать один туннель и включать туннель настроенный на другой удаленный IP, настройки этих туннелей на кеенетиках одинаковы, отличаются только удаленным IP.
Вопрос, можно ли как то сделать резервирование туннеля, если некоторое время не поднимается на одном IP то активировать второй, т.е. допустим если в течении нескольких минут данный туннель не устанавливается, в автомате попытаться установить туннель из другой настройки? Может как то сумбурно и не совсем понятно, отвечу на любые вопросы.

Link to comment
Share on other sites
feoser Advanced Member

feoser

Posted
  • Author
Posted
9 часов назад, Le ecureuil сказал:

@feoser

Да, это есть и описано в cli guide. ищите по set-peer-fallback для crypto map.

Спасибо огромное! Всё получилось, когда загасил основной принимающий шлюз, соединение через небольшое время перекинулось на резервный.
Если можно, ещё небольшой вопрос, правильно ли я понимаю, что на основной шлюз вернется теперь только когда упадет резервный или возможен вариант когда будет смена ключей либо обрыв сессий провайдером со стороны кеенетика?

Вот давно хотел спросить этот вопрос, да всё как то было не досуг, а всё оказалось очень просто, честно, очень помогли.

Link to comment
Share on other sites
feoser Advanced Member

feoser

Posted
  • Author
Posted
29 минут назад, feoser сказал:

правильно ли я понимаю, что на основной шлюз вернется теперь только когда упадет резервный или в

Не нашел как редактировать предыдущее сообщение, но зато нашел ответ на свой вопрос.

crypto map fallback-check-interval

Link to comment
Share on other sites
  • 2 months later...
CBLoner Honored Flooder

CBLoner

Posted
Posted
2 минуты назад, Le ecureuil сказал:

Да можно, там прикручивать два поля :)

Ой. Класс... ;)

А то часто провод и резерв на 4Г...

А когда можно ждать? 😬😁

Link to comment
Share on other sites
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
29 минут назад, CBLoner сказал:

Ой. Класс... ;)

А то часто провод и резерв на 4Г...

А когда можно ждать? 😬😁

Да уже сейчас из cli настройте и проверьте.

Но вы уверены что правильно понимаете суть? Это указание второго адреса сервера для клиента, ничего более. Если у вас модем вторым, то у него же серый адрес и не будет доступа все равно.

Link to comment
Share on other sites
  • 1 month later...
jappleseed89 Member

jappleseed89

Posted
Posted

А со стороны "клиента" с серым IP, который подключается к единственному серверу с белым IP как настроить интерфейсы (провайдер), через которые подключаться, а вернее приоритет интерфейсов? Потому что общему приоритету подключений IPSec site-to-site не следует, в итоге, когда на клиенте 3 провайдера (2 резервных), подключение IPSec идет через случайный интерфейс (или вернее через основной (первый), но после его пропадания не переключается обратно) , чаще всего в итоге получается именно через самый медленный (4G модем) или с лимитным трафиком.

Link to comment
Share on other sites
jappleseed89 Member

jappleseed89

Posted
Posted
В 15.01.2021 в 21:11, Le ecureuil сказал:

Это планируется сделать, следите за новостями :)

Это для всех туннелей планируется сделать? В WireGuard возможности выбрать интерфейсы я тоже не нашёл.

Link to comment
Share on other sites
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
7 часов назад, jappleseed89 сказал:

Это для всех туннелей планируется сделать? В WireGuard возможности выбрать интерфейсы я тоже не нашёл.

В WG это сложнее из-за того, что у кадого пира может быть свой исходящий интерфейс. Потому я пока(?) не вижу смысла это делать.

Link to comment
Share on other sites
  • 1 year later...
jappleseed89 Member

jappleseed89

Posted
Posted
В 15.01.2021 в 21:11, Le ecureuil сказал:

Это планируется сделать, следите за новостями :)

Есть новости по реализации этой функции? А то до сих пор VPN трафик на хостах с серыми IP не следует приоритету подключений (не переключается обратно).

Link to comment
Share on other sites
  • 1 year later...

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...