Failover de VPN?
-
Olá..
Como posso fazer a VPN IPSec funcionar em de falha de um dos links?
Possuo 2 IP´s validos na matriz e outros 2 IP´s validos na filial….
Encontrei alguns post fazendo referência a utilização do DynDNS....mas não posso por razões especificas no ambiente.....preciso que a VPN seja montada diretamente nos IP´s.
Li algo sobre grupo de gateways para as VPN, mas o post em inglês era muito confuso e não encontrei esta função!
Imaginei criar 2 tuneis deixando um em standby, caso o principal falhe o trafego é redirecionado para a VPN secundária...mas não encontrei formas de tratar isto por regras...
Agradeço desde já qualquer ajuda
-
Acredito que só programando um script para subir um quando o outro falhar.
Nos tutoriais de vpn tem um script meu que sobe o ipsec em caso de falha do link privado. este pode ser a base para sua configuração.
-
O Openvpn possui esta opção.
Basta você acrescentar no custom na configuração do tunel openvpn outro remote.
Pois a openvpn sempre tenta conectar pelo primeiro remote caso não tenha sucesso ele direciona para o segundo.
Caso tiver conectado e cair a conexão ele tenta tambem conectar no segundo remote.
Mas o ipsec não sei se tem como pois ainda não trabalhei com ipsec. -
Valew pessoal…..vamos para OPENVPN
-
Aproveitando o tópico.
Quando configuramos a Openvpn, selecionamos apenas uma interface wan (wan, opt1, localhost or any) para se conectar ao remote.
Supondo que a filial tenha dois links para redundância e quando o link principal cair, como faço para trocar de forma automática a interface wan.
Obs.: Na configuração da Interface, não posso deixar any, pois o link secundário (2 Mbps) tem a banda menor que o principal (5 Mbps).
-
Alguém?
-
Quando configuramos a Openvpn, selecionamos apenas uma interface wan (wan, opt1, localhost or any) para se conectar ao remote.
Supondo que a filial tenha dois links para redundância e quando o link principal cair, como faço para trocar de forma automática a interface wan.
Obs.: Na configuração da Interface, não posso deixar any, pois o link secundário (2 Mbps) tem a banda menor que o principal (5 Mbps).
Você está usando o OpenVPN como Ponto a Ponto ou Cliente-Servidor?
Se o link é rede a rede, o PFSense "Cliente" deve ter um script para encerrar a conexão e iniciar denovo, com isso ele pega o Gateway ativo no momento.
Se é cliente- Servidor, é o PFSense da filial que fará o Fail-Over e mudará o Gateway padrão para os usuários.
-
LFCavalcanti,
Ponto a Ponto. Configurando o BGP para os links Filial e Matriz é outra uma solução?
-
Uma alta disponibilidade na filial so fazer um failover no pfsense do da filial que a openvpn ira usar o gatway default.
Confome o LFCavalcanti explicou. -
gilmarcabral
Muito obrigado. Criando o Failover a opção GW Group Failover fica disponível na Interface da OpenVPN.