Объединение двух офисов, резервирование l
-
Теперь встает вопрос, как лучше настроить openvpn между двумя гейтами на pfsense с учетом резервирования каналов:
с какой стороны поднимать сервер, а с какой клиент?Хе…
Тут вопрос еще в том, как вы заставите openvpn ходить на разные IP?
С почтовым сервером, все решается MX записями. А вот как тут быть?Эта тема мне тоже интересна, и мне кажется, вопрос в том, как OpenVPN резолвит записи с DNS - по одному или списком ?
Ну то есть, если я сделал две A-записи на условный myvpn.mydomain, что из этого получится ? Ничего путного ?
-
Ну то есть, если я сделал две A-записи на условный myvpn.mydomain, что из этого получится ?
Первую запись отрезолвит.
Вот, гугль принес
Можно в конфигурации клиента указать несколько адресов сервера. Клиент должен подключаться последовательно…remote server-address-1 1194
remote server-address-2 1194 -
Ну то есть, если я сделал две A-записи на условный myvpn.mydomain, что из этого получится ?
Первую запись отрезолвит.
Вот, гугль принес
Можно в конфигурации клиента указать несколько адресов сервера. Клиент должен подключаться последовательно…remote server-address-1 1194
remote server-address-2 1194интересует еще и обратный автоматический переход на основной VPN. как он в таком случае отработает? и вообще отработает ли?
-
Достаточно создать один файл конфигурации openvpn на клиенте, и в нём прописать секции для каждого IP-адреса сервера. Также в этих секциях можно специфические для каждого IP-адреса настройки, но это не для данного случая. При наличии в настройках клиента опций «ping-restart m» или «keepalive n m», начнётся попытка соединения со следующим сервером через m секунд, если предыдущее подключение было нерабочим.
Т.е. в файле настроек неизменные части сохранятся, добавятся секции :cat /etc/openvpn/ABC.conf
client
proto udp
dev tap2
<connection>remote AA.AA.AA.AA:1194</connection>
<connection>remote BB.BB.BB.BB:1194</connection>
nobind
persist-key
keepalive 10 120
cipher BF-CBC
comp-lzo
verb 0
ca /etc/openvpn/ca.crt
cert /etc/openvpn/client.crt
key /etc/openvpn/client.key -
Настроил туннель по этому ману c youtube
Может кому пригодится. -
Ну то есть, если я сделал две A-записи на условный myvpn.mydomain, что из этого получится ?
Первую запись отрезолвит.
Вот, гугль принес
Можно в конфигурации клиента указать несколько адресов сервера. Клиент должен подключаться последовательно…remote server-address-1 1194
remote server-address-2 1194А где это можно прописать?
Через WebGui ? -
Простите за предыдущий пост :-[
До конца не разобрался просто….Сделал:
Со стороны сервера multi WAN.
WAN - Основной
OPT1 -Резервный
На каждом из интерфейсе поднял свой OpenVPN сервер. Firewall настроил.У каждого свой порт и у каждого своя Tunnel Network.
[i]Когда ставишь одинаковую Tunnel Network (основной или резерв), то один из OpenVPN серверов переходит в статус STOP.
Со стороны клиента в поле Advanced configuration добавил строчку:
remote 192.168.10.251 1195 (ip резервного канала и порт)Тестирование:
Сервер:
Основной канал "упал", основной VPN канал "упал".
Поднялся резерв канал, сервер VPN на резерве готовКлиент:
Понял что основной VPN канал "упал".
Пытается подсоединиться на резерв. Подсоединяется (видно из Status:OpenVPN на сервере)
В логах со стороны клиента появляется запись:
openvpn[10238]: WARNING: 'ifconfig' is used inconsistently, local='ifconfig 10.0.8.2 10.0.8.1', remote='ifconfig 10.0.9.2 10.0.9.1'Пингов нет, тунель "лежит" :(
Как быть?_Весь лог со стороны клиента(172.16.0.254 - Клиент, 192.168.0.253 - Основной сервера, 192.168.10.251 - Резерв сервера):
Sep 19 14:52:15 openvpn[45219]: event_wait : Interrupted system call (code=4)
Sep 19 14:52:15 openvpn[45219]: /usr/local/sbin/ovpn-linkdown ovpnc1 1500 1560 10.0.8.2 10.0.8.1 init
Sep 19 14:52:15 openvpn[45219]: SIGTERM[hard,] received, process exiting
Sep 19 14:52:16 openvpn[9341]: OpenVPN 2.2.0 i386-portbld-freebsd8.1 [SSL] [LZO2] [eurephia] [MH] [PF_INET6] [IPv6 payload 20110424-2 (2.2RC2)] built on Aug 11 2011
Sep 19 14:52:16 openvpn[9341]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Sep 19 14:52:16 openvpn[9341]: TUN/TAP device /dev/tun1 opened
Sep 19 14:52:16 openvpn[9341]: do_ifconfig, tt->ipv6=0, tt->did_ifconfig_ipv6_setup=0
Sep 19 14:52:16 openvpn[9341]: /sbin/ifconfig ovpnc1 10.0.8.2 10.0.8.1 mtu 1500 netmask 255.255.255.255 up
Sep 19 14:52:16 openvpn[9341]: /usr/local/sbin/ovpn-linkup ovpnc1 1500 1560 10.0.8.2 10.0.8.1 init
Sep 19 14:52:16 openvpn[10238]: UDPv4 link local (bound): [AF_INET]172.16.0.254
Sep 19 14:52:16 openvpn[10238]: UDPv4 link remote: [AF_INET]192.168.0.253:1194
Sep 19 14:52:21 openvpn[10238]: Peer Connection Initiated with [AF_INET]192.168.0.253:1194
Sep 19 14:52:22 openvpn[10238]: Initialization Sequence Completed
Sep 19 15:02:27 openvpn[10238]: Inactivity timeout (–ping-restart), restarting
Sep 19 15:02:27 openvpn[10238]: SIGUSR1[soft,ping-restart] received, process restarting
Sep 19 15:02:29 openvpn[10238]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Sep 19 15:02:29 openvpn[10238]: Re-using pre-shared static key
Sep 19 15:02:29 openvpn[10238]: Preserving previous TUN/TAP instance: ovpnc1
Sep 19 15:02:29 openvpn[10238]: UDPv4 link local (bound): [AF_INET]172.16.0.254
Sep 19 15:02:29 openvpn[10238]: UDPv4 link remote: [AF_INET]192.168.0.253:1194
Sep 19 15:03:29 openvpn[10238]: Inactivity timeout (–ping-restart), restarting
Sep 19 15:03:29 openvpn[10238]: SIGUSR1[soft,ping-restart] received, process restarting
Sep 19 15:03:31 openvpn[10238]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Sep 19 15:03:31 openvpn[10238]: Re-using pre-shared static key
Sep 19 15:03:31 openvpn[10238]: Preserving previous TUN/TAP instance: ovpnc1
Sep 19 15:03:31 openvpn[10238]: UDPv4 link local (bound): [AF_INET]172.16.0.254
Sep 19 15:03:31 openvpn[10238]: UDPv4 link remote: [AF_INET]192.168.10.251:1195
Sep 19 15:03:39 openvpn[10238]: Peer Connection Initiated with [AF_INET]192.168.10.251:1195
Sep 19 15:03:40 openvpn[10238]: Initialization Sequence Completed
Sep 19 15:03:41 openvpn[10238]: WARNING: 'ifconfig' is used inconsistently, local='ifconfig 10.0.8.2 10.0.8.1', remote='ifconfig 10.0.9.2 10.0.9.1'
Sep 19 15:06:31 openvpn[10238]: Inactivity timeout (–ping-restart), restarting
Sep 19 15:06:31 openvpn[10238]: SIGUSR1[soft,ping-restart] received, process restarting
Sep 19 15:06:33 openvpn[10238]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Sep 19 15:06:33 openvpn[10238]: Re-using pre-shared static key
Sep 19 15:06:33 openvpn[10238]: Preserving previous TUN/TAP instance: ovpnc1
Sep 19 15:06:33 openvpn[10238]: UDPv4 link local (bound): [AF_INET]172.16.0.254
Sep 19 15:06:33 openvpn[10238]: UDPv4 link remote: [AF_INET]192.168.10.251:1195
Sep 19 15:07:33 openvpn[10238]: Inactivity timeout (–ping-restart), restarting
Sep 19 15:07:33 openvpn[10238]: SIGUSR1[soft,ping-restart] received, process restarting
Sep 19 15:07:35 openvpn[10238]: NOTE: the current –script-security setting may allow this configuration to call user-defined scripts
Sep 19 15:07:35 openvpn[10238]: Re-using pre-shared static key
Sep 19 15:07:35 openvpn[10238]: Preserving previous TUN/TAP instance: ovpnc1
Sep 19 15:07:35 openvpn[10238]: UDPv4 link local (bound): [AF_INET]172.16.0.254
Sep 19 15:07:35 openvpn[10238]: UDPv4 link remote: [AF_INET]192.168.0.253:1194
Sep 19 15:08:28 openvpn[10238]: Peer Connection Initiated with [AF_INET]192.168.0.253:1194
Sep 19 15:08:29 openvpn[10238]: Initialization Sequence Completed_ -
Пингов нет, тунель "лежит" :(
Как быть?Тут уже много раз писалось - на мультиванах только по TCP надо делать OpenVPN.
На UDP не будет это работать. -
-
Sep 19 15:03:31 openvpn[10238]: Preserving previous TUN/TAP instance: ovpnc1
Думаю, из-за этого не ловит новую Tunnel Network. В конфиге OpenVPN клиента по умолчанию стоит persist-tun и из ГУИ это не правится.
Я бы попробовал поднять 2-х клиентов в филиале на разные адреса головного офиса и разобраться с Quagga OSPF. -
u menya openvpn + quagga ospf otlichno rabotayut