[Résolu]Bascule OpenVPN

Dimix971

Bonjour,

Contexte : Pro, Étudiant, Nouveau, pfsense installé sur HYPER-V
Besoin : Bascule OpenVPN

Schéma : Toutes les interfaces possèdent leur propre carte réseau virtuelle.
          pfSense 1:                                              pfSense 2:                                          CARP:
WAN: 192.168.15 x/22                            WAN: 192.168.15 x/22                      LAN@2: 192.168.10 x
LAN: 192.168.10 x/24                              LAN: 192.168.10 x/24                      WAN@3: 192.168.15 x <== lié à une adresse IP Publique
SYNC: 10.0.10.253/24                            SYNC: 10.0.10.254/24

Configuration OpenVPN:
Mon serveur OpenVPN est en accès à distance (SSL/TLS) sur mon interface WAN sur le port 5130 avec une adresse de tunnel 10.1.1.0/24.
Pour me connecter à OpenVPN depuis un poste client, l'entreprise m'a fourni une adresse IP Publique qui est liée à l'adresse WAN de mon CARP (ce qui fonctionne).

Problème:
Lorsque le pfSense 1 tombe, le deuxième prend la relève mais pas le service OpenVPN et donc plus de VPN actif.

Pistes imaginées:

• Avoir une adresse IP Publique pour chacun des pfSense sur leur adresse WAN et les inclure au fichier de configuration client avec la syntaxe: "remote [ip publique] [port] [protocole]"
  Ce qui devrait me permettre de lancer le service sur les deux pfSense ce qui pourrait permettre la bascule.

Peut-être que je me trompe et que ma piste n'est pas forcément la bonne donc j'aimerai avoir votre avis  :D

Je ne sais pas si je suis clair mais n'hésitez pas à me poser des questions pour vous éclairer.

Cordialement

chris4916

Configuré, si ce n'est pas déjà fait, ton serveur OpenVPN pour écouter sur l'interface localhost (127.0.0.1) et fait un port forwarding depuis ton interface WAN vers 127.0.0.1
Ça devrait fonctionner

Dimix971

@chris4916:

fait un port forwarding depuis ton interface WAN vers 127.0.0.1

Faire un port forwarding sur mon WAN ne fonctionne pas car je me connecter sur mon OpenVPN via l'adresse CARP et il est impossible de sélectionner cette adresse.

J'ai utilisé cette page pour le faire: https://doc.pfsense.org/index.php/Multi-WAN_OpenVPN

chris4916

@Dimix971:

Faire un port forwarding sur mon WAN ne fonctionne pas car je me connecter sur mon OpenVPN via l'adresse CARP et il est impossible de sélectionner cette adresse.

J'ai utilisé cette page pour le faire: https://doc.pfsense.org/index.php/Multi-WAN_OpenVPN

Le lien que tu montres décrit exactement la même chose que ce que je te dis, à savoir un serveur VPN qui écoute sur localhost avec un forward.

Une fois que tu as compris le principe, qu'est-ce qui t'empêche de faire un forward de la VIP plutôt qu'un forward de tes WAN ?
Rien…  ;)

ça fonctionne très bien. Je fais ça avec des pfSense en CARP en multi-WAN sans problème.
Dans ce cas, il faut juste faire 2 redirect, un pour chaque VIP-WAN 8)

Dimix971

@chris4916:

Le lien que tu montres décris exactement la même chose que ce que je te dit, à savoir un serveur VPN qui écoute sur localhost avec un forward.

Une fois que tu as compris le principe, qu'est-ce qui t'empêche de faire un forward de la VIP plutôt qu'un forward de tes WAN ?
Rien…  ;)

Effectivement je n'avais pas bien compris le principe. Je te remercie tout fonctionne parfaitement  ;D