OpenVPN Server - Multi WAN
-
@JeGr Danke nochmal für die Bestätigung, dass ich doch nicht soo verkehrt lag. Multihoming lief bei mir einige Zeit zu Testzwecken, allerdings wollte ich jetzt endlich mal alles richtig machen und das Lauschen eben nur auf den benötigten IF's konfigurieren.
Seit gestern läuft es über localhost ohne Probleme. Das ist tatsächlich die optimalste Lösung. -
@un1que said in OpenVPN Server - Multi WAN:
Seit gestern läuft es über localhost ohne Probleme. Das ist tatsächlich die optimalste Lösung.
Und läuft prima mit 2 oder mehr Leitungen. Wenn man dem Client als Settings die Timeouts ein wenig herunterschraubt und beide Lines mit
remote...Einträgen konfiguriert, bekommt man auch ein flott reagierendes und sauberes Failover bei der Einwahl hin, sollte eine Leitung mal ausfallen. Darum empfehle ich auch allermeistens OVPN > IPSEC was für Clients IMHO ein wirklicher Krampf einzurichten ist (vor allem mit Clients aus unterschiedlichen Hemisphären wie Win/Mac/iXXX/Mobiles).Gruß
-
@JeGr Ja, genau so habe ich das auch eingerichtet mit mehreren remote-Einträgen.
Ich habe jedoch ein kleines Problem festgestellt: u.a. wurde so der VPN-Server auf dem Port 443 eingerichtet. Trotz "port-share localhost 443" gab es wohl irgendwelche Schwierigkeiten und die pfSense ist mir 2-3 mal innerhalb von 2 Tagen abgestürzt. Gestern habe ich dann mal den Port des VPN-Servers verlegt und entsprechend auch die NAT-Regel angepasst 443 => 4443. Seitdem ist wohl Ruhe und die pfSense läuft stabil. Jemand eine Idee, woran es gelegen haben könnte?
-
Würde einfach 2 Instanzen laufen lassen. UDP und TCP, dann brauchst du nicht mit port-share arbeiten. Habe damit bisher überhaupt keine Probleme.
-
@bahsig Genau so lief es bei mir die ganze Zeit: UDP und TCP getrennt. Aber soweit ich weiß, hat das ja nichts mit port-share zu tun - das braucht man doch explizit für den Server mit dem 443 Port.
Ist denn dein Setup genau so über localhost eingerichtet? Davor liefen bei mir nämlich die 2 unterschiedlichen Server problemlos. Erst nachdem ich auf localhost umgestellt habe, kamen bei mir die Abstürze.
-
Beide Instanzen laufen bei mir auf localhost, UDP auf 1194 und TCP auf 443. Abstürze hatte ich bisher nicht. Müssen wir mal weitersuchen.
-
Hmm ok, komisch. Wie gesagt, seitdem ich den Server-Port verschoben habe (der Eingangsport ist 443 geblieben), läuft es ohne Abbrüche. Vllt. sollte ich mal versuchen den port-share Parameter rauszunehmen?
-
Wie gesagt, bei mir läuft der Server ohne Custom Options. Nat sieht bei mir so aus
Mit Port-Routing hatte ich Probleme, deshalb genattet.
-
Ich weiß jetzt nicht mehr warum ich überhaupt port-share benutzt habe (das WebUI ist auf einem anderen Port eingerichtet), daher habe ich diesen Parameter mal rausgenommen und schaue wie sich die pfSense die nächsten Tage verhält. Sollte es wieder mal Abstürze geben, sage ich Bescheid.
-
Alles klar, dann warten wir mal ab.
-
Hab nochmal in die Doku zum Thema port-share geschaut. Da gibt man die IP des Webservers an. Denke nicht, dass dein Webserver auf localhost, also der Sense läuft. Denke du hast damit einen „Zirkelbezug“ gebastelt, mit dem die Sense nicht umgehen konnte und deshalb abgestürzt ist. Das Problem sollte sich eigentlich mit dem Entfernen dieser Option erledigt haben.
-
Wie gesagt, ich weiß nicht mehr genau, weshalb ich es damals so eingerichtet habe. Das war wohl in irgendeiner Anleitung drin oder ich habe es aus dem Forum hier. Womöglich lief bei mir das WebUI noch auf dem 443 Port.
Kann tatsächlich an diesem Parameter gelegen haben. Weiterhin ist mir halt auch aufgefallen, dass damals (wo es die Probleme mit den Abstürzen gab) unter dem OpenVPN Server (:443) 2 undefined Einträge gelistet wurden, wo sich ständig die Ports verändert haben.
Diese sind nun verschwunden, jedoch gab es diese auch gestern nicht mehr als ich kurz mit dem port-share Parameter getestet habe.Naja, aber solange es nun keine Abstürze mehr gibt, möchte ich mich nicht beschweren.
-
port-share brauchst du an der Stelle lediglich, wenn du von außen auf einen Webserver auf der gleichen IP auf der auch das VPN läuft per 443 TLS zugreifen willst. Dann wird - theoretisch - OpenVPN prüfen, ob es ein VPN Paket oder ein echtes HTTPS Paket ist und leitet es dann ggf. weiter an den Webserver. Das steht dann normalerweise auch mit
port-share x.y.z.a 443in der Konfiguration, wobei
x.y.z.adann die IP des internen Servers ist, der die TLS Pakete bekommt die kein VPN sind. Ist im Prinzip der Tarnung gedacht, damit man den Verkehr innerhalb echtem TLS Traffic verstecken kann und bei Aufruf einen echten Webserver am Start hat der antwortet.Wenn du nicht gerade nen Webserver da laufen hast oder die WebUI nach draußen mappst, sondern da eh nur VPN läuft, kannst du
port-shareauch einfach sein lassen, dann wirds wohl auch kein Problem geben :) -
Ja, genau. Das habe ich nun auch eingesehen, kann mich aber, wie gesagt, absolut nicht mehr dran erinnern, wieso ich den Parameter damals überhaupt übernommen habe.
Nachdem ich den Parameter nun entfernt habe, läuft es zum Glück schon ein paar Tage ohne Probleme durch. Daher kann die Sache wohl abgehackt werden.Danke nochmal an alle beteiligten!
-
Das doch super :) Ging auch nicht ums "einsehen", sondern eher wofür der da ist. Hätte zudem auch funktionieren können/sollen wenn er richtig konfiguriert ist. Aber vielleicht war da der Haken. Anyway schön dass es jetzt läuft!
