[AYUDA] OPENVPN - 2 WAN BALANCEO Y FAILOVER
-
Buenos días, muchas gracias por la respuesta.
Referente a tus comentarios, decir que el balanceo / failover de cada wan lo tengo ya realizado también. Adjunto foto.
Quizás quieres decir que debo realizar otro en los routeos ?
Sobre DYNDNS es necesario teniendo las IPS estáticas ? Tengo contratado ese servicio para no tener cambio de IPs, por lo tanto no se si aun así es obligatorio usar el servicio DYNDNS.
Gracias y un saludo
-
Los servidores de VPN debera de estar corriendo sobre los grupos de interfaces que creaste, para que hagan failover y si no quieres usar dyndns ….
A tus usuarios puedes hacerlos que se conecten a los dos servidores de manera alternativa agregando una linea mas a la configuracion del archivo del cliente especificando un segundo servidor.
https://docs.openvpn.net/how-to-tutorialsguides/administration/set-up-basic-server-load-balancingredundancy/
A ver si te sirve.
-
Buenos días Acriollo,
Referente a los Servidores VPN tirando de los grupos failovers entiendo que te refieres - Primera foto adjunta
Lo que marco en Amarillo.
En la segunda foto, adjunto la configuración del grupo failover a ver si es correcto, yo entiendo de que si. - Segunda foto adjunta
Referente a los Clientes, yo utilizo la configuración del VPN, pero desde el panel de control del PFsense, nose como hacerlo de manera alterna.
Sabrias como ? Creo que puede ser en la opción " Advanced Configuratión "
Adjunto tercera foto, con la configuración actual.
Cuarta foto, con el advanced configuration.
Si usamos este metodo, solo debo tener 1 cliente configurado en vez de los dos ?
Gracias y un Saludo !!
-
Correcto, creo que las respuestas ya las tienes.
En la configuracion de los servidores, debes de correr la instalacia del servidor de acceso sobre los alguno de los grupos que esan en amarillo
a tus clientes les puedes agregar en opciones avanzadas el otro servidor al que pueden apuntar. la opcion remote. o agregarlo al archivo manualmente.
saludos.
-
Una pregunta, tengo configurado como has podido ver para cada servidor un tunnel meteoro diferente.
Deben de ser los mismos?
Mañana realizare pruebas.
Gracias por tu ayuda,
Un saludo
-
A que te refieres como meteoro ?
Los accesos son para los usuarios de las PCs verdad ? No para los peer to peer.
-
Me refería al Túnel Network
Para uno tengo : 10.0.8.0/24. y para la otra tengo 10.0.10.0/24
Estas son las conexiones para los servidores con las otras maquinas PFSENSE en PEER TO PEER.
Para los usuarios con maquina utilizo remote access por SSL.. Pero eso son para los portátiles.
-
Hola ,
Si son para los peer to peer y las configuraciones en las LANS remotas y locales, solo es necesario configurar que los servicios corran por el grupo de interfaces.
Pero del lado del cliente si es necesario que si apunte a un dyndns que se resuelva en base a un grupo de interfaces ( Failover )
Si el caso es para las PCs que se conectan via SSL, es necesario que el server corra en el grupo de interfaces ( Failover ) y los clientes tengan configurado las dos entradas para -remote o que que apunten a dun Dyndns que este configurado a un grupo de interfaces ( Failover ). Creo que funciona mejor el doble remote. De cualquiera de las dos formas los clientes van a perder la conexion e intentaran conectarse nuevamente despues de unos segs.
Saludos.
-
Buenas noches,
Sigo sin conseguir el balanceo de VPN's.
He realizado el sistema de DynDNS con (NO-IP) y sigue sin funcionar.
Expongo como lo he configurado :
He dejado unicamente 1 Servidor VPN por el puerto 1194.
Uno de los clientes, lo he configurado apuntando al DynDNS. El Pfsense me obtiene correctamente la IP ( no me la refresca correctamente, pero este ya es un mal menor … )
Si tiro una WAN, y actualizo a mano el host en el NO-IP dydns, y fuerzo la actualización del Dinamic DNS en el pfsense para que obtenga la nueva IP, me sigue sin conectar el Cliente que expongo en las fotos.
La verdad, se me agotan las ideas ...
Tan complicado es de realizar esta tarea ?
Por favor, si pueden ayudarme os lo agradeceria.
Gracias por vuestra dedicación,
Un Saludo
-
El problema es que el servidor de OpenVPN debe de correr no en la interface WAN , si no en la interface que agrupaste como failover.
por eso no funciona.
ahora, tu cliente debe de apuntar a la direccion de dyndns y esta se debe de actualizar correctamente tanto en el server como en los clientes, que deben de resolver la direccion del dyndns correctamente o como te comente con las dos configuraciones de remote.
no es muy complicado.
-
Buenas Acriollo,
Lo tengo montado como tu dices, El servidor OpenVPN apuntando contra el routing group con caracteristicas FailOver. Adjunto Fotos.
Me puedes confirmar que es correcto ?
Por lo menos puedo descartar que eso lo tengo mal.
Gracias
-
Es correcto.
Ahora del lado remoto deberas de configurar el cliente para que apunte ya sea a un dyndns que se resuelva del lado del server con el grupo de interfaces que tienes configurado en el Servidor de Openvpn o con una doble config del parametro -remote para que pueda conectarse al otro servicio cuando uno falle.
saludos
-
Lo tengo configurado así.
-
Parece estar bien .
Que problema tienes ?
Tienes abiertos los puertos en ambos wans ?
el dyndns esta configurado para el grupo de interfaces ?
-
Buenos días,
La verdad que nose que puede estar pasando.
Los puertos tengo abiertos el 1194 en todas las WAN, LAN… vamos hasta en el NAT en todas las maquinas.
El servidor dyndns funciona correctamente ya, el solo se actualiza y si pasan 25 días sin cambios, fuerza un actualización.
Sobre la configuración, realmente en la aparte avanzada, donde ponemos lo de " remote .... ; " no lo estoy usando, puesto que ya utilizo el método del Dinamic DNS.
Sinceramente, nose donde tengo el problema, y el problema es que no llega a conectar el PFSENSE lado cliente con el servidor apuntando al server DynDNS.
Sin embargo, si creo 2 servidores VPN, con diferente puerto y usando diferente interface, me conectan a los dos Servidores y hay trafico de datos por ambos, pero no balancea, es decir, si se cae uno de esos dos servidores, se acaba la conexión bajo el túnel.
A ver si conseguimos dar con el balanceo de VPN..
Un Saludo !!
-
El Dyndns corre en la interface del grupo de failover ?
-
A ver si nos ponemos de acuerdo y te apoyo remotamente via teamviewer o con otra opcion
estoy en mexico, puedo despues de las 9 pm mi horario -
Buenas tardes Acriollo, esta noche desde que estés disponible te doy acceso por teamviewer a las dos maquinas, al servidor y al cliente.
Espero tu mensaje privado y sino te importa lo vemos ?
Muchas gracias !!
-
Hola, actualizo este post.
Estuve apoyando a @dmacho para la resolucion de este problema para la conexion entre unos PFs remotos y una oficina central.
Todos los equipos funcionan y se conectan perfectamente a la VPN cuando funcionan con la WAN0 , estuvimos haciendo pruebas con uno de ellos y con la configuracion de un par de parametros mas en la seccion advanced del tipo keepalive y un parametro mas del tipo remote para especificar la otra ip del server central. El equipo se conecta a la WAN1 despues de un par de minutos.
El problema es que despues de que se restablece la WAN0 y se reconecta por la WAN0 el equipo remoto no se vuelve a conectar a la WAN1 cuando se simula nuevamente la caida de la WAN0
Estoy en espera de los logs por parte de dmacho para tener en detalle los errores de conexion.
Aparentemente el sistema muestra una diferencia en un parametro keydir (0,1) pero lo interesante del asunto es que el remoto se conecta al servicio con la WAN0 o con la WAN1 si es que estas se fijan como interfaces en el servidor de OpenVPN, no asi cuando se simulan las caidas con un grupo de interfaces.
Esto es parte de los logs :
Aug 20 15:16:26 openvpn[85542]: Local Options String: 'V4,dev-type tun,link-mtu 1557,tun-mtu 1500,proto UDPv4,keydir 1,cipher AES-128-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'
Aug 20 15:16:26 openvpn[85542]: Expected Remote Options String: 'V4,dev-type tun,link-mtu 1557,tun-mtu 1500,proto UDPv4,keydir 0,cipher AES-128-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'
La diferencia en negrita. El cliente y el server son los mismos solo cambia la interface cuando se realiza un failover.
He verificado que los servicios se reinician correctamente en el servidor central. Pero no tengo mucha idea si esto puede causar el problema de conexion.Ojala Bellera pueda ayudarnos