[AYUDA] OPENVPN - 2 WAN BALANCEO Y FAILOVER

dmacho

Buenas noches,

Sigo sin conseguir el balanceo de VPN's.

He realizado el sistema de DynDNS con (NO-IP) y sigue sin funcionar.

Expongo como lo he configurado :

He dejado unicamente 1 Servidor VPN por el puerto 1194.

Uno de los clientes, lo he configurado apuntando al DynDNS. El Pfsense me obtiene correctamente la IP ( no me la refresca correctamente, pero este ya es un mal menor … )

Si tiro una WAN, y actualizo a mano el host en el NO-IP dydns, y fuerzo la actualización del Dinamic DNS en el pfsense para que obtenga la nueva IP, me sigue sin conectar el Cliente que expongo en las fotos.

La verdad, se me agotan las ideas ...

Tan complicado es de realizar esta tarea ?

Por favor, si pueden ayudarme os lo agradeceria.

Gracias por vuestra dedicación,

Un Saludo

clientevpn-dyn.JPG_thumb

clientevpn-dyn-2.JPG_thumb

servidores-vpn.JPG_thumb

servidores-vpn-2.JPG_thumb

routing-groups.JPG_thumb

gateways.JPG_thumb

acriollo

El problema es que el servidor de OpenVPN debe de correr no en la interface WAN , si no en la interface que agrupaste como failover.

por eso no funciona.

ahora, tu cliente debe de apuntar a la direccion de dyndns y esta se debe de actualizar correctamente tanto en el server como en los clientes, que deben de resolver la direccion del dyndns correctamente o como te comente con las dos configuraciones de remote.

no es muy complicado.

dmacho

Buenas Acriollo,

Lo tengo montado como tu dices, El servidor OpenVPN apuntando contra el routing group con caracteristicas FailOver. Adjunto Fotos.

Me puedes confirmar que es correcto ?

Por lo menos puedo descartar que eso lo tengo mal.

Gracias

multiwan.JPG_thumb

multiwan01.JPG_thumb

server_openvpn.JPG_thumb

server-openvpn1.JPG_thumb

acriollo

Es correcto.

Ahora del lado remoto deberas de configurar el cliente para que apunte ya sea a un dyndns que se resuelva del lado del server con el grupo de interfaces que tienes configurado en el Servidor de Openvpn o con una doble config del parametro -remote para que pueda conectarse al otro servicio cuando uno falle.

saludos

dmacho

Lo tengo configurado así.

captura1.JPG_thumb

captura2.JPG_thumb

acriollo

Parece estar bien .

Que problema tienes ?

Tienes abiertos los puertos en ambos wans ?

el dyndns esta configurado para el grupo de interfaces ?

dmacho

Buenos días,

La verdad que nose que puede estar pasando.

Los puertos tengo abiertos el 1194 en todas las WAN, LAN… vamos hasta en el NAT en todas las maquinas.

El servidor dyndns funciona correctamente ya, el solo se actualiza y si pasan 25 días sin cambios, fuerza un actualización.

Sobre la configuración, realmente en la aparte avanzada, donde ponemos lo de " remote .... ; " no lo estoy usando, puesto que ya utilizo el método del Dinamic DNS.

Sinceramente, nose donde tengo el problema, y el problema es que no llega a conectar el PFSENSE lado cliente con el servidor apuntando al server DynDNS.

Sin embargo, si creo 2 servidores VPN, con diferente puerto y usando diferente interface, me conectan a los dos Servidores y hay trafico de datos por ambos, pero no balancea, es decir, si se cae uno de esos dos servidores, se acaba la conexión bajo el túnel.

A ver si conseguimos dar con el balanceo de VPN..

Un Saludo !!

acriollo

El Dyndns corre en la interface del grupo de failover ?

acriollo

A ver si nos ponemos de acuerdo y te apoyo remotamente via teamviewer o con otra opcion
estoy en mexico, puedo despues de las 9 pm mi horario

dmacho

Buenas tardes Acriollo, esta noche desde que estés disponible te doy acceso por teamviewer a las dos maquinas, al servidor y al cliente.

Espero tu mensaje privado y sino te importa lo vemos ?

Muchas gracias !!

acriollo

Hola, actualizo este post.

Estuve apoyando a @dmacho para la resolucion de este problema para la conexion entre unos PFs remotos y una oficina central.

Todos los equipos funcionan y se conectan perfectamente a la VPN cuando funcionan con la WAN0 , estuvimos haciendo pruebas con uno de ellos y con la configuracion de un par de parametros mas en la seccion advanced del tipo keepalive y un parametro mas del tipo remote para especificar la otra ip del server central. El equipo se conecta a la WAN1 despues de un par de minutos.

El problema es que despues de que se restablece la WAN0 y se reconecta por la WAN0 el equipo remoto no se vuelve a conectar a la WAN1 cuando se simula nuevamente la caida de la WAN0

Estoy en espera de los logs por parte de dmacho para tener en detalle los errores de conexion.

Aparentemente el sistema muestra una diferencia en un parametro keydir (0,1) pero lo interesante del asunto es que el remoto se conecta al servicio con la WAN0 o con la WAN1 si es que estas se fijan como interfaces en el servidor de OpenVPN, no asi cuando se simulan las caidas con un grupo de interfaces.

Esto es parte de los logs :

Aug 20 15:16:26 openvpn[85542]: Local Options String: 'V4,dev-type tun,link-mtu 1557,tun-mtu 1500,proto UDPv4,keydir 1,cipher AES-128-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-client'

Aug 20 15:16:26 openvpn[85542]: Expected Remote Options String: 'V4,dev-type tun,link-mtu 1557,tun-mtu 1500,proto UDPv4,keydir 0,cipher AES-128-CBC,auth SHA1,keysize 128,tls-auth,key-method 2,tls-server'

La diferencia en negrita. El cliente y el server son los mismos solo cambia la interface cuando se realiza un failover.
He verificado que los servicios se reinician correctamente en el servidor central. Pero no tengo mucha idea si esto puede causar el problema de conexion.

Ojala Bellera pueda ayudarnos