Есть два VPN сервера.
1 VPN клиента клиента на одном сервере FREEBSD.
В одном в конфиге прописанно redirect-gateway def1
Как сделать что бы если в случае падения первого VPN канала первый делался def1?
>Есть два VPN сервера.
>1 VPN клиента клиента на одном сервере FREEBSD.
>В одном в конфиге прописанно redirect-gateway def1
>Как сделать что бы если в случае падения первого VPN канала первый
>делался def1? В данной фразе явно не хватает запятых и нескольких слов.Судя по строке "redirect-gateway def1" речь идёт об openvpn? И что значит "чтобы если в случае падения первого VPN канала первый делался def1"?
Люди на научитесь уже корректно ставить вопрос! Я млин 2/3 своих ответов по темам задаю вопросы, информацию по которым человек должен был сам писать, а не дожидаться вопроса.
>[оверквотинг удален]
>>Как сделать что бы если в случае падения первого VPN канала первый
>>делался def1? В данной фразе явно не хватает запятых и нескольких слов.
>
>Судя по строке "redirect-gateway def1" речь идёт об openvpn? И что значит
>"чтобы если в случае падения первого VPN канала первый делался def1"?
>
>
>Люди на научитесь уже корректно ставить вопрос! Я млин 2/3 своих ответов
>по темам задаю вопросы, информацию по которым человек должен был сам
>писать, а не дожидаться вопроса.Да везде стоят opevpn.
На Freebsd стоит два openvpn клиента.
Сейчас подключены два VPN один как redirect-gateway def1, тоесть веь трафик идет через него.
А второй без redirect-gateway def1. вот как сделать так что бы если отваливаеться первый, то второй ставал как redirect-gateway def1, а при восстановление первого, первый подключался и ставал redirect-gateway def1.
Я знаю как реализовать тему двух провайдеров на фряке, но вот с VPN не знаю.
>[оверквотинг удален]
>
>Да везде стоят opevpn.
>На Freebsd стоит два openvpn клиента.
>Сейчас подключены два VPN один как redirect-gateway def1, тоесть веь трафик идет
>через него.
>А второй без redirect-gateway def1. вот как сделать так что бы если
>отваливаеться первый, то второй ставал как redirect-gateway def1, а при восстановление
>первого, первый подключался и ставал redirect-gateway def1.
>Я знаю как реализовать тему двух провайдеров на фряке, но вот с
>VPN не знаю.ну так и работай с ними как с двумя провайдерами
>[оверквотинг удален]
>
>Да везде стоят opevpn.
>На Freebsd стоит два openvpn клиента.
>Сейчас подключены два VPN один как redirect-gateway def1, тоесть веь трафик идет
>через него.
>А второй без redirect-gateway def1. вот как сделать так что бы если
>отваливаеться первый, то второй ставал как redirect-gateway def1, а при восстановление
>первого, первый подключался и ставал redirect-gateway def1.
>Я знаю как реализовать тему двух провайдеров на фряке, но вот с
>VPN не знаю.Ну, вообще-то, этот "def1" - это своеобразный хак, позволяющий не используя метрик делать маршрут до всей глобальной сети более приоритетным, чем тот, что указан как default-route (а именно он прописывает роуты для двух сетей: 0/1 и 128/1). Почему бы тупо не указать в таком случае, чтобы default-route работал через второй VPN?
>[оверквотинг удален]
>>отваливаеться первый, то второй ставал как redirect-gateway def1, а при восстановление
>>первого, первый подключался и ставал redirect-gateway def1.
>>Я знаю как реализовать тему двух провайдеров на фряке, но вот с
>>VPN не знаю.
>
>Ну, вообще-то, этот "def1" - это своеобразный хак, позволяющий не используя метрик
>делать маршрут до всей глобальной сети более приоритетным, чем тот, что
>указан как default-route (а именно он прописывает роуты для двух сетей:
>0/1 и 128/1). Почему бы тупо не указать в таком случае,
>чтобы default-route работал через второй VPN?Потому что у меня default-route это интернет, если я сделаю его как впн второй. то не будет и интернета )
>[оверквотинг удален]
>>>VPN не знаю.
>>
>>Ну, вообще-то, этот "def1" - это своеобразный хак, позволяющий не используя метрик
>>делать маршрут до всей глобальной сети более приоритетным, чем тот, что
>>указан как default-route (а именно он прописывает роуты для двух сетей:
>>0/1 и 128/1). Почему бы тупо не указать в таком случае,
>>чтобы default-route работал через второй VPN?
>
>Потому что у меня default-route это интернет, если я сделаю его как
>впн второй. то не будет и интернета )Эм... Ну... Вообще-то приём с def1 покрывает весь диапозон IPv4, в то время, как вы утверждаете, что у вас выход в Интернет осуществляется НЕ через данные VPN-соединения. Вы меня окончательно запутали. Опишите схему, наконец.)
>[оверквотинг удален]
>>>0/1 и 128/1). Почему бы тупо не указать в таком случае,
>>>чтобы default-route работал через второй VPN?
>>
>>Потому что у меня default-route это интернет, если я сделаю его как
>>впн второй. то не будет и интернета )
>
>Эм... Ну... Вообще-то приём с def1 покрывает весь диапозон IPv4, в то
>время, как вы утверждаете, что у вас выход в Интернет осуществляется
>НЕ через данные VPN-соединения. Вы меня окончательно запутали. Опишите схему, наконец.)
>Есть аська там легче просто. ?
Если у кто может в кратце направить на путь в аське стукнитесь 445224 кому не тяжело и кто не будет говорить что читай маны, читаю но учусь и ошибки те же что и были у всех когда то.
Есть одна сетевая идет к инету.
Два соединения ВПН.
В одном прописанно redirect gateway def1
Тоесть надо что бы когда падал первый второй вставал как def1.
А при восстановлении первого вставал опять первый.
Хз как это замутить с VPN.
>Если у кто может в кратце направить на путь в аське стукнитесь
>445224 кому не тяжело и кто не будет говорить что читай
>маны, читаю но учусь и ошибки те же что и были
>у всех когда то.
>Есть одна сетевая идет к инету.
>Два соединения ВПН.
>В одном прописанно redirect gateway def1
>Тоесть надо что бы когда падал первый второй вставал как def1.
>А при восстановлении первого вставал опять первый.
>Хз как это замутить с VPN.Ну я в Аську стучаться не буду. Чревато нахлебниками :)
Но если по делу, то вы понимаете, что def1 перекрывает default-route?
>[оверквотинг удален]
>>у всех когда то.
>>Есть одна сетевая идет к инету.
>>Два соединения ВПН.
>>В одном прописанно redirect gateway def1
>>Тоесть надо что бы когда падал первый второй вставал как def1.
>>А при восстановлении первого вставал опять первый.
>>Хз как это замутить с VPN.
>
>Ну я в Аську стучаться не буду. Чревато нахлебниками :)
>Но если по делу, то вы понимаете, что def1 перекрывает default-route?Да понимаю естесственно
0/1 прописываеть
127.0
>[оверквотинг удален]
>>>Тоесть надо что бы когда падал первый второй вставал как def1.
>>>А при восстановлении первого вставал опять первый.
>>>Хз как это замутить с VPN.
>>
>>Ну я в Аську стучаться не буду. Чревато нахлебниками :)
>>Но если по делу, то вы понимаете, что def1 перекрывает default-route?
>
>Да понимаю естесственно
>0/1 прописываеть
>127.0128*
Тогда объясните зачем вам нужен default-route в вашей схеме.
>[оверквотинг удален]
>>>Ну я в Аську стучаться не буду. Чревато нахлебниками :)
>>>Но если по делу, то вы понимаете, что def1 перекрывает default-route?
>>
>>Да понимаю естесственно
>>0/1 прописываеть
>>127.0
>
>128*
>
>Тогда объясните зачем вам нужен default-route в вашей схеме.При обрыве того же ВПН 1 соединение идет через default-router.
Если не будет default-router то при обрыве соединения скажем первого и попытке его восстановить он просто не сможет его восстановить.
>[оверквотинг удален]
>>>0/1 прописываеть
>>>127.0
>>
>>128*
>>
>>Тогда объясните зачем вам нужен default-route в вашей схеме.
>
>При обрыве того же ВПН 1 соединение идет через default-router.
>Если не будет default-router то при обрыве соединения скажем первого и попытке
>его восстановить он просто не сможет его восстановить.Если прописать отдельные роуты до хостов VPN-серверов, не устраивает?
А вообще, то что вы описываете легко решается спомощью route-down, route-up скриптов.
А так же проблема решается спомощью прописывания дублирующих роутов с разными метриками, если это возможно, либо если невозможно, можно продолжить традицию хака def1 и поделить на этот раз на 4 сети.
>[оверквотинг удален]
>>>
>>>128*
>>>
>>>Тогда объясните зачем вам нужен default-route в вашей схеме.
>>
>>При обрыве того же ВПН 1 соединение идет через default-router.
>>Если не будет default-router то при обрыве соединения скажем первого и попытке
>>его восстановить он просто не сможет его восстановить.
>
>Если прописать отдельные роуты до хостов VPN-серверов, не устраивает?Немного не понял разжуй пожалйста. меня устроит любой способ с возможностью реализовать то что написал, не понимаю именно как перекинуть на второй ВПН и как контролировать восстановление первого?
>[оверквотинг удален]
>>>
>>>При обрыве того же ВПН 1 соединение идет через default-router.
>>>Если не будет default-router то при обрыве соединения скажем первого и попытке
>>>его восстановить он просто не сможет его восстановить.
>>
>>Если прописать отдельные роуты до хостов VPN-серверов, не устраивает?
>
>Немного не понял разжуй пожалйста. меня устроит любой способ с возможностью реализовать
>то что написал, не понимаю именно как перекинуть на второй ВПН
>и как контролировать восстановление первого?Ну, конкретно в данную минуту я пьяноват и могу бессвязно изъясняться. Но вообще, если я правильно понял проблему, она имеет множество решений. Зависит от того, что вы хотите видеть в конечном итоге в случай, если падают оба VPN-соединения. И я правильно понимаю, что у вас используется FreeBSD на данном компьютере?
>[оверквотинг удален]
>>
>>Немного не понял разжуй пожалйста. меня устроит любой способ с возможностью реализовать
>>то что написал, не понимаю именно как перекинуть на второй ВПН
>>и как контролировать восстановление первого?
>
>Ну, конкретно в данную минуту я пьяноват и могу бессвязно изъясняться. Но
>вообще, если я правильно понял проблему, она имеет множество решений. Зависит
>от того, что вы хотите видеть в конечном итоге в случай,
>если падают оба VPN-соединения. И я правильно понимаю, что у вас
>используется FreeBSD на данном компьютере?Стоит Freebsd
Если падают оба тогда либо фиг с ними ))
Либо пусть ждет восстановления перевого.
В конечном итоге хочу получить:
Если падает первый то прописываеться дефаулт на второй
В то же время проверяеться доступность ип первого сервера, если он доступен то подключаеться на первый снова.
Если падают оба то ждем восстановления первого.
>[оверквотинг удален]
>>используется FreeBSD на данном компьютере?
>
>Стоит Freebsd
>Если падают оба тогда либо фиг с ними ))
>Либо пусть ждет восстановления перевого.
>В конечном итоге хочу получить:
>Если падает первый то прописываеться дефаулт на второй
>В то же время проверяеться доступность ип первого сервера, если он доступен
>то подключаеться на первый снова.
>Если падают оба то ждем восстановления первого.Про FreeBSD я спросил, т.к. припоминаю, что там сильно упрощена маршрутизация и нет понятия метрик, что не даёт возможность делать дублирующие записи.
Поэтому наиболее простым решением в соответствии с вашим описанием желаемого поведения, я предлагаю просто прописать маршруты по маске /32 до openvpn серверов (что освободит default-route для наших целей) и отдать default-route второму openvpn-соединению. Понятно изъясняюсь? :)
Вы конкретно сейчас не стесняйтесь и спрашивайте, если не понятно. Как я уже сказал, конечно сейчас я пьяноват, и мне сложно понять, насколько понятно я изъясняюсь.
>[оверквотинг удален]
>>то подключаеться на первый снова.
>>Если падают оба то ждем восстановления первого.
>
>Про FreeBSD я спросил, т.к. припоминаю, что там сильно упрощена маршрутизация и
>нет понятия метрик, что не даёт возможность делать дублирующие записи.
>
>Поэтому наиболее простым решением в соответствии с вашим описанием желаемого поведения, я
>предлагаю просто прописать маршруты по маске /32 до openvpn серверов (что
>освободит default-route для наших целей) и отдать default-route второму openvpn-соединению. Понятно
>изъясняюсь? :)Я не бум бум в этом
ip vpn servera/32 ip internet
Так?
>[оверквотинг удален]
>>нет понятия метрик, что не даёт возможность делать дублирующие записи.
>>
>>Поэтому наиболее простым решением в соответствии с вашим описанием желаемого поведения, я
>>предлагаю просто прописать маршруты по маске /32 до openvpn серверов (что
>>освободит default-route для наших целей) и отдать default-route второму openvpn-соединению. Понятно
>>изъясняюсь? :)
>
>Я не бум бум в этом
>ip vpn servera/32 ip internet
>Так?Ну, что-то вроде:
route add адрес_vpn_server1 адрес_маршрутизатора_ISP
route add адрес_vpn_server2 адрес_маршрутизатора_ISPЕстественно указанные строки помогут лишь на одну загрузку, и по хорошему маршруты надо прписать в rc.conf, ну или в крайний случай в rc.local
И как вы с этим связались, если вы "не бум бум в этом"? :)
>[оверквотинг удален]
>>ip vpn servera/32 ip internet
>>Так?
>
>Ну, что-то вроде:
>route add адрес_vpn_server1 адрес_маршрутизатора_ISP
>route add адрес_vpn_server2 адрес_маршрутизатора_ISP
>
>Естественно указанные строки помогут лишь на одну загрузку, и по хорошему маршруты
>надо прписать в rc.conf, ну или в крайний случай в rc.local
>А в default router прописать маршрут до второго впн?
А как он поймет что первый восстановился? он же по идее при разрыве пробует связаться каждый 10 сек и при восстановление пропишеться def1?
>[оверквотинг удален]
>>
>>Ну, что-то вроде:
>>route add адрес_vpn_server1 адрес_маршрутизатора_ISP
>>route add адрес_vpn_server2 адрес_маршрутизатора_ISP
>>
>>Естественно указанные строки помогут лишь на одну загрузку, и по хорошему маршруты
>>надо прписать в rc.conf, ну или в крайний случай в rc.local
>>
>
>А в default router прописать маршрут до второго впн?Уху
>А как он поймет что первый восстановился? он же по идее при
>разрыве пробует связаться каждый 10 сек и при восстановление пропишеться def1?Ну, я так понмиаю, у вас будет запущено два демона openvpn. Как только первый vpn-туннель сново поднимется, автоматом пропишется def1, который приоритетнее, чем default-route, из-за чем весь трафик пойдёт через него.
>[оверквотинг удален]
>>А в default router прописать маршрут до второго впн?
>
>Уху
>
>>А как он поймет что первый восстановился? он же по идее при
>>разрыве пробует связаться каждый 10 сек и при восстановление пропишеться def1?
>
>Ну, я так понмиаю, у вас будет запущено два демона openvpn. Как
>только первый vpn-туннель сново поднимется, автоматом пропишется def1, который приоритетнее, чем
>default-route, из-за чем весь трафик пойдёт через него.Спасиб щяс попробую реализовать
>[оверквотинг удален]
>>Уху
>>
>>>А как он поймет что первый восстановился? он же по идее при
>>>разрыве пробует связаться каждый 10 сек и при восстановление пропишеться def1?
>>
>>Ну, я так понмиаю, у вас будет запущено два демона openvpn. Как
>>только первый vpn-туннель сново поднимется, автоматом пропишется def1, который приоритетнее, чем
>>default-route, из-за чем весь трафик пойдёт через него.
>
>Спасиб щяс попробую реализоватьЕсть проблемма, я прописал маршрут для впс 1 на IPS провайдера
и все подключилось нормально, но вот ответы он пытаеться отдать через IPS
>[оверквотинг удален]
>>>>разрыве пробует связаться каждый 10 сек и при восстановление пропишеться def1?
>>>
>>>Ну, я так понмиаю, у вас будет запущено два демона openvpn. Как
>>>только первый vpn-туннель сново поднимется, автоматом пропишется def1, который приоритетнее, чем
>>>default-route, из-за чем весь трафик пойдёт через него.
>>
>>Спасиб щяс попробую реализовать
>
>Есть проблемма, я прописал маршрут для впс 1 на IPS провайдера
>и все подключилось нормально, но вот ответы он пытаеться отдать через IPSISP, а не IPS. (Internet Service Provider)
А проблему вашу я немного не понял. Что значит "пытается отдать через ISP" и как вы это зафиксировали? А так же дайте вывод "netstat -nr" на момент данной проблемы.
>[оверквотинг удален]
>>>Спасиб щяс попробую реализовать
>>
>>Есть проблемма, я прописал маршрут для впс 1 на IPS провайдера
>>и все подключилось нормально, но вот ответы он пытаеться отдать через IPS
>
>ISP, а не IPS. (Internet Service Provider)
>
>А проблему вашу я немного не понял. Что значит "пытается отдать через
>ISP" и как вы это зафиксировали? А так же дайте вывод
>"netstat -nr" на момент данной проблемы.Все сделал работает смотрел tcpdump - ом.
Вопрос вот в чем, тоесть как сохранить настройки.
прописал route add ip vpn 1 > internet gateway
прописал route add ip vpn 2 > internet gateway
route add default vpn 2 можно прописать только когда ВПН 2 поднят.
Тоесть сначала запускаешь впн 2 и только тогда можно прописать default gateway
а потом уже первый ВПН тогда он перекрывает второй.
Но вот если запустить первый впн первым то так как default еще нет ему перекрывать нечего 0/1 он не прописывает и все пакеты ответные идут через
route add ip vpn 1 > internet gateway
--------
Тоесть все работает если запустить сначала ВПН - 2 потом прописать default gateway и потом запустить ВПН - 1.
Тогда когда отваливаеться первый все идет через второй а при восстановлении идет опять через первый.
А теперь вопрос.
Как сделать автозапуск всего этого с системмой?
>[оверквотинг удален]
>нет ему перекрывать нечего 0/1 он не прописывает и все пакеты
>ответные идут через
>route add ip vpn 1 > internet gateway
>--------
>Тоесть все работает если запустить сначала ВПН - 2 потом прописать default
>gateway и потом запустить ВПН - 1.
>Тогда когда отваливаеться первый все идет через второй а при восстановлении идет
>опять через первый.
>А теперь вопрос.
>Как сделать автозапуск всего этого с системмой?а не разумнее закоментировать redirect-gateway в openvpn вообще, а маршрутизацую разрулить средствами самой ОС у которой для этого есть всё нужное. redirect-gateway в openvpn для домохозяек, неужели сложно почитать абзац о том что делает этот парамет и понять, что вам он только мешает.
>[оверквотинг удален]
>>gateway и потом запустить ВПН - 1.
>>Тогда когда отваливаеться первый все идет через второй а при восстановлении идет
>>опять через первый.
>>А теперь вопрос.
>>Как сделать автозапуск всего этого с системмой?
>
>а не разумнее закоментировать redirect-gateway в openvpn вообще, а маршрутизацую разрулить средствами
> самой ОС у которой для этого есть всё нужное. redirect-gateway
>в openvpn для домохозяек, неужели сложно почитать абзац о том что
>делает этот парамет и понять, что вам он только мешает.redirect-gateway работает через тот же /sbin/route, разницы никакой.
Насколько я помню, при определённых флагах отладки, можно даже увидить как он запускает /sbin/route с определёнными параметрами :)
>[оверквотинг удален]
>>А проблему вашу я немного не понял. Что значит "пытается отдать через
>>ISP" и как вы это зафиксировали? А так же дайте вывод
>>"netstat -nr" на момент данной проблемы.
>
>Все сделал работает смотрел tcpdump - ом.
>Вопрос вот в чем, тоесть как сохранить настройки.
>прописал route add ip vpn 1 > internet gateway
>прописал route add ip vpn 2 > internet gateway
>route add default vpn 2 можно прописать только когда ВПН 2
>поднят.Почему? Можно в любом порядке, def1 так или иначе перекроет default-route
>Тоесть сначала запускаешь впн 2 и только тогда можно прописать default gatewayЭто делается либо спомощью скрипта на "route-up", либо указав redirect-gateway local, насколько я помню. Я openvpn пользовался очень мало :)
>
>а потом уже первый ВПН тогда он перекрывает второй.Не обязательно. Запускать их можно в любом порядке.
>Но вот если запустить первый впн первым то так как default еще
>нет ему перекрывать нечего 0/1 он не прописывает и все пакеты
>ответные идут через
>route add ip vpn 1 > internet gatewayЕсть default-route или нет, 0/1 и 128/1 должны успешно прописываться. Главное чтобы существовал маршрут до самого сервера, что вроде как у вас уже должно быть сделано
>--------
>Тоесть все работает если запустить сначала ВПН - 2 потом прописать default
>gateway и потом запустить ВПН - 1.
>Тогда когда отваливаеться первый все идет через второй а при восстановлении идет
>опять через первый.
>А теперь вопрос.
>Как сделать автозапуск всего этого с системмой?Добавьте в rc.conf:
static_routes="openvpn1 openvpn2"
route_openvpn1="-host адрес_первого_сервера_openvpn адрес_маршрутизатора_ISP"
route_openvpn2="-host адрес_второго_сервера_openvpn адрес_маршрутизатора_ISP"И организуйте автозапуск обоих openvpn демонов. Лучше всего это делать используя rc.d-скрипты. Однако, если вам слишком лень в этом разбираться, можете тупо прописать строки запуска openvpn-демонов в /etc/rc.local (хоть это и моветон, но работает)
Все сделал остаеться один вопрос.
При загрузке должен прописываться дефолт гатевей. н должен быть 192.168.137.1
Но Фря не может прописать маршрут к несушествующией сети.
Тоесть сначало должен при загрузке подклчиться VPN а уже потом прописаться маршрут.
Как сделать что бы либо сам впн при загрузке прописывал маршрут ли бо как сделать задержку прописывания пока не подключиться впн?
>Все сделал остаеться один вопрос.
>При загрузке должен прописываться дефолт гатевей. н должен быть 192.168.137.1
>Но Фря не может прописать маршрут к несушествующией сети.
>Тоесть сначало должен при загрузке подклчиться VPN а уже потом прописаться маршрут.
>
>Как сделать что бы либо сам впн при загрузке прописывал маршрут ли
>бо как сделать задержку прописывания пока не подключиться впн?Я так понял, речь про "второй VPN". Вы либо должны сделать скрипт, который пропишет default через нужный хост и добавить опцию route-up в конфигурации openvpn, либо добавить опцию redirect-gateway local
Нет мне надо что бы после перезагрузки сервера, запускались сначало оба впн.
Это я сделал стартуют оба.
А потом надо что бы прописался default_router
VPN 1 покдлючаеться и получает ип 192.168.137.2
потом надо что бы прописался default_gateway 192.168.137.1