OPENVPN site-to-site com FailOver não retorna para link principal no Client
-
Meu ambiente (lado client)
PFsense 2.2.4 64 Bits
Squid 3
Squidguard
OpenVPN escutando a LAN (para que funciona o FailOver).Lado do Server
PFSense 2.2.2 64 Bits (várias VPNs funcionando perfeitamente), client-to-site e site-to-site
Apenas um link Dedicado !Lado do Client (Todo assunto é referente a este lado do Client)
Link Principal de 20 Mby (dedicado) Embratel
Link Secundário 10 Mby ADSL (redundância)FailOver priorizando Embratel, assume secundário apenas na queda do principal e retorna quando Principal ON.
Apenas o OpenVPN não retorna para link principal.
Na prática:
Quando Link principal cai, squid+squidguard e openvpn vão para link secundário, quando link principal retorna o squid + squidguard retorna mas openvpn fica preso no secundário.Só volta para Principal se forçar queda do secundário ou no lado do server desabilitar a conexão openvpn e após 1 min habilitar novamente.
Já vi em alguns foruns informando que é normal pois VPN não é para ficar pulando de um link para outro, até entendo quando é loadbalance mas no meu caso tenho um link dedicado e o segundo é apenas redundância mesmo.
Já tentei de tudo, até esperei sair a versão 2.2.4 pois tinha o Bug 4661 tratando algo parecido mas o cenário não mudou.
Se alguém tiver uma dica, mesmo que seja script, etc.
-
O openvpn cliente só ira reconectar no seu link principal se o link secundario cair.
Isso é uma caracteristica da openvpn client, pois o parametro remote informado no cliente é para isso.
Tenta conectar no primeiro caso não tenha resposta ele vai para o segundo link ate que que um dos links responde com o serviço rodando. -
Pensei que seguia a mesma regra do FailOver, uma vez que os pesos são para usar o Secundário, apenas e somente apenas quando o primeiro cair.
Por exemplo a navegação que é via Proxy (não transparente) + squidguard, obedece a regra do FailOver. Quando Principal cai, vai para Secundário, quando primário volta a navegação também volta para o primeiro.Em todo caso valeu pelo esclarecimento.
Vou ver se consigo encontrar uma solução automática.
-
Certo.
Mas no caso da openvpn quem conecta é o client no servidor.
Então o cliente so irá mudar de link caso o link que o cliente conectou cair. -
Sim.. é o Client que faz a conexão no Servidor, inclusive são vários clientes conectando a um servidor.
Não sei se me fiz entender…Falo apenas do Client... Tenho um IP Fixo no Servidor que já existe suas redundâncias...não vem ao caso. Se servidor cair todos estão fora, isto eu sei, até tem outras formas de criar conexões em 2 servidores se precisasse de redundância no servidor, não vem ao caso também.
Neste caso em específico estou falando apenas do Cliente que usa Embratel e ADSL, quando a internet Principal do Client cai automaticamente vai para o Secundário mas quando a internet principal do CLIENTE retorna o OPENVPN não se desconecta do link secundário para se conectar novamente usando o link principal...
Desculpe está sendo tão verbose mas é para não ficar dúvidas sobre o ambiente, vai que alguém tem uma dica.
As navegações do SQUID, regras em geral tudo retorna para a principal, uma vez que está configurado FAILOVER e não LOADBALANCE.
Continuo buscando uma saída... logo que conseguir fechar este problema e mesmo que não consiga farei um vídeo com a solução que estou usando por completo.. é o mínimo de contribuição diante de tantas que obtive aqui..
Continuo garimpando ! Rs
-
Ficou claro o seu cenário.
Realmente isso é uma caracteristica.
Eu irei te sugerir 2 alternativas que talvez você ja tenha feito.
Primeira você configurar o openvpn client para rodar sobre o grupo de failover.
Segunda é vc criar um script que envia ping para o GW da operadora do link principal, e caso ele não tenha resposta ele restarta a openvpn mas o teste de ping irá continua ate que consiga resposta e quando tiver ele restarta a openvpn.
Pensei nestas 2 alternativas para contornar o problema. -
Apenas um feedback !!!
Veja que interessante, estava acompanhando as conexões do OPENVPN pelo Servidor, basta ver o status que mostra o ip que está conectado nele e daí consigo ver a conexão que vem do cliente se Embratel ou secundário !!!
PFSense (SERVIDOR) ainda é 2.2.2 ainda, não sei se é bug mas vou atualizar para 2.2.4 no final de semana, apenas os Clients já são 2.2.4
Vamos aos últimos teste !
Ao ficar simulando quedas de link principal e secundário no Client, a visualização no Servidor acaba mostrando como se fosse apenas um.Percebi que ao derrubar o link principal (no client) na segunda vez a visualização do servidor mostra como se a conexão estivesse vindo ainda do link principal do client o que não é verdade pois está off.
São muitas informações mas passei apenas para dizer que estou a pleno vapor com os testes, até porque preciso deste ambiente funcionando em produção !
Dou notícias assim que tiver mais resultados..
-
alguma novidade ? estou interessado tb… o lance do failover não volta as conexões no link original.