Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    [Résolu] Le basculement (failover) et OpenVPN

    Scheduled Pinned Locked Moved
    Français
    2
    11
    4.6k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      jdh
      last edited by

      Je suppose que tu veux dire CARP pour "failover" !

      J'ai une config avec 2 pfsense en cluster avec CARP (virtual IP et tout le toutim) qui fonctionne correctement avec OpenVPN (+IPSEC vers un autre cluster identique).

      Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

      1 Reply Last reply Reply Quote 0
      • T
        titofe
        last edited by

        Oui, j'ai employer (failover) suite aux tutos que j'ai suivi, mais je voulais bien dire CARP.

        Ok pour l'info, si je peux me permettre tu aurais des liens utiles sur la mie en place du VPN?

        CARP c'est vraiment tout nouveau pour moi.

        1 Reply Last reply Reply Quote 0
        • J
          jdh
          last edited by

          Il me semble que j'ai décris comment je m'y suis pris sur Ixus … Mais cela peut être répété :

          Config : 2 PC (standard) avec 3 cartes réseaux + 3 switchs (Lan+Dmz+Wan)

          Wan : range /29 fournie par le FAI : 80.80.80.80/29 => 80.80.80.81 = rtr FAI, objectif FW=80.80.80.82

          PC1 : LAN (192.168.1.252/24)+DMZ(192.168.11.252/24)+WAN(80.80.80.83/29)
          PC2 : LAN (192.168.1.253/24)+DMZ(192.168.11.253/24)+WAN(80.80.80.84/29)
          Vip : 192.168.1.254/24, 192.168.11.254/24, 80.80.80.82/29

          Switchs : chacun relie les cartes identiques = de même nom, le switch Wan relie les 2 PC et le routeur du FAI

          • Install pfSense sur PC1 + affectation des différentes ip selon cartes,
          • Install pfSense sur PC2 + affectation des différentes ip selon cartes,
          • PC1/ création alias fw=192.168.1.254, fw_dmz=192.168.11.254, fw_pub=80.80.80.82, portfw=(port admin: normalement 80)
          • PC1/ ajout de rules WAN: pass icmp/8 Wan Address, pass icmp/8 fw_pub,
          • PC1/ ajout de rules DMZ: pass icmp/8 (interface address), pass icmp/8 fw_dmz, pass tcp/portfw (interface address), pass tcp/portfw fw_dmz,
          • PC1/ NAT manuel : 192.168.1.0/24 -> 80.80.80.82 et 192.168.11.0/24 -> 80.80.80.82
          • PC1/ création des Vip: 80.80.80.82/29, 192.168.1.254/24, 192.168.11.254/24
          • PC1/ réglage Carp: enable + interface DMZ + adresse PC2 =192.168.11.253 + cocher (presque) tout

          En principe PC2 se retrouve bien configuré !!

          => En entrée (WAN ou DMZ), j'ai doublé icmp/8 et portfw : Wan Address + fw_pub. Mais il est possible que ce ne soit plus fonctionnel ...
          => NAT manuel : il faut bien sortir avec l'ip commune fw_pub et non Wan Address !
          => les redirections (p.e. smtp) ou accès (OpenVPN) sont configurés via une rule avec l'ip fw_pub et non Wan Address !

          C'est assez logique mais j'ai préparé à part (et testé abondamment ...)

          (enfin il s'agit d'une trame que tu adapteras ...)

          Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

          1 Reply Last reply Reply Quote 0
          • T
            titofe
            last edited by

            Je confirme pour IXUS et je ne voulais pas te faire répéter cela.

            Je pense que j'ai du mal poser mon interrogation qui est maintenant devenu un problème  :( et je m'en excuse jdh.

            Donc CARP fonctionne très bien.

            Ce que je veux savoir c'est comment configurais mon VPN sur les 2 PfSense pour que les client ce connecte sur l'adresse IP virtuel du WAN et non celle d'un serveur PfSense.

            Pour resumer:

            • Client OpenVPN vers une IP de l'un des Serveur PfSense aucun souci.
            • Cleint OpenVPN vers L'IP Virtuel des PfSense ça ne marche pas.

            Ce que j'ai fait:
            J'ai mis les même donner sur les deux Pfsense au niveau serveur OpenVPN, ainsi que les certificat.

            Les logs OpenVPN sur PfSense:
            Feb 10 12:11:56 openvpn[31156]: 192.168.122.200:44022 Re-using SSL/TLS context
            Feb 10 12:11:56 openvpn[31156]: 192.168.122.200:44022 LZO compression initialized
            Feb 10 12:12:56 openvpn[31156]: 192.168.122.200:44022 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
            Feb 10 12:12:56 openvpn[31156]: 192.168.122.200:44022 TLS Error: TLS handshake failed

            192.168.122.200 est le client qui cherche à ce connecter.

            1 Reply Last reply Reply Quote 0
            • T
              titofe
              last edited by

              Sur ce Post j'ai crue comprendre que cela étais possible, mais hormis ça je ne comprend rien d'autre, l'anglais est vraiment pas ma langue de prédilection et donc je patauge dans la semoule …

              Voila ce qu'on peut lire :

              All working…..

              i Have two boxes configured with CARP ... all is working ....
              the problems with OpenVPN stops when .. i Deleted all related OpenVPN on Master .
              look , may master (first box ) was configured with openVPN when i decided to have an Carp solution (second box)

              step by step i did:

              • Backup all data on OpenVPN config page (Ca.crt, server.key, server.crt, server.dh) and clean all fields.
              • deleted server config on OpenVPN.. when all was clen in both boxes . reboot.
              • with master box off i did all OpenVPN config on the slave box, then started master box and did config too. The config are exactly same.
                in my Road-warriors clients i did a connection to 1194 TCP on the VIP address of WAN .
                now my clients can connect in master or slave box, when master goes down connection are dropped and in seconds restablished. When master returns again, connections are dropped and reconnected .
                No more errors connecting on the slave when master was off.

              Pour une traduction je prend car mon traducteur à titrer "google" me fait une traduction à dormir debout :D

              Blague à part je continue mes recherche. :-\

              Titofe

              1 Reply Last reply Reply Quote 0
              • T
                titofe
                last edited by

                ~~Bon j'ai trouver mon erreur.

                Pour utiliser WAN-CARP comme adresse IP pour OpenVPN, il faut mettre dans "Custom options" "local IP_WAN-CARP" sur les deux Serveur OpenVPN; c'est tout con, mais voila quand on comprend pas la langue …

                Titofe~~
                Ca ne fonctionne pas.

                1 Reply Last reply Reply Quote 0
                • J
                  jdh
                  last edited by

                  C'est curieux, je n'ai pas cette "custom option" et pourtant cela fonctionne …

                  Par contre, j'ai une rule WAN qui précise bien : pass + adresse CARP (fw_pub) + proto + port.
                  Quand on créé cette règle, pfSense propose par défaut "Wan Address" ce qui n'est pas bon !

                  Albert EINSTEIN : Si vous ne pouvez pas l'exprimer simplement, c'est que vous ne le comprenez pas assez bien. (If you can’t explain it simply, you don’t understand it well enough.)

                  1 Reply Last reply Reply Quote 0
                  • T
                    titofe
                    last edited by

                    Pour la 'rule' moi aussi j'ai du faire la même chose, par contre je ne comprend pourquoi moi j'ai du rentrer 'local IP_WAN-CARP' dans 'Custom options' et pas toi.

                    Je me demande bien ce que j'ai pas fait ou que tu à fait de plus pour ne pas avoir à le faire !?

                    Quand j'aurai un peux plus de temps je posterais toute ma démarche, afin de voir.

                    1 Reply Last reply Reply Quote 0
                    • T
                      titofe
                      last edited by

                      Bon, mauvaise nouvelle pour moi, ça ne marche pas même avec 'local IP_WAN-CARP' dans "Custom options".

                      Je m'explique, avec 'local IP_WAN-CARP' dans "Custom options" et en utilisant donc l'IP_WAN-CARP pour me connecter aux firewall, la connexion ce fait bien, tout fonctionne je navigue sans aucun souci sur le site distant, mais:

                      • en mode VPN Nomades quand le firewall-1 tombe il ne ce reconnecte pas sur firewall-2 et donc le lien tombe.
                      • en mode Site à Site quand le firewall-1 tombe le lien va sur le firewall-2 et tout fonctionne, mais quand le firewall-1 revient, la connexion reste sur le firwall-2 mais je n'ai plus accès au site distant.

                      Et sans 'local IP_WAN-CARP' dans "Custom options" les lien ne ce font pas en utilisant l'IP_WAN-CARP pour me connecter aux firewall.

                      Ma question faut-il créer un NAT ou autre chose pour utiliser l'IP virtuel de WAN pour le VPN OpenVPN, pour que si le firewall-1 tombe le firewall-2 prend la releve et vice versa ?

                      Si il vous manque d'info n'hésiter pas à me demander, la je sèche.

                      En plus je suis sur que jdh ma donner la solution, mais honnêtement y a des passage que je comprend pas …

                      ... vivement le week-end  :)

                      1 Reply Last reply Reply Quote 0
                      • T
                        titofe
                        last edited by

                        J'ai trouver …..

                        J'ai toujours créer mes VPN avec comme port utiliser UDP, je n'ai jamais eu de souci, et sur pfsense, il y a en pas non plus si vous le faite avec une seul interface, par contre avec CARP donc IP virtuel puisque deux firewall ça ne marche pas" et je ne sais pas pourquoi !!!

                        Donc il faut utiliser comme port TCP et tous rentre dans l'ordre.

                        Titofe

                        Cela ne pouvez être que quelque chose d'aussi simple pour que je passe au travers, … plus mes 80 et quelque heures de cette semaine. ;D

                        Ps: encore merci jdh

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.