Redundância OpenVPN



  • Olá a todos.
    Gostaria de saber se existe a possibilidade de realizar uma redundância no OpenVPN entre links.
    Exemplo: Tenho um servidor OpenVPN no pfsense de borda na matriz, e na filial tenho um pfsense de borda com um client OpenVPN. Atualmente passa tudo por um único link, mas tenho outro link disponível na matriz e gostaria de fazer uma redundância com ele caso um cair, outro link assuma. É possível fazer isto?
    Agradeço a atenção de todos desde já.



  • Boa tarde,

    Seu link é Dedicado?



  • @hunterjn:

    Boa tarde,

    Seu link é Dedicado?

    Boa tarde.
    Sim, com IP's fixos.



  • Se tu tens um Link dedicado será fácil. Quantos endereços IPs públicos tu pode utilizar?



  • @hunterjn:

    Se tu tens um Link dedicado será fácil. Quantos endereços IPs públicos tu pode utilizar?

    Olá, Hunterjn. Obrigado por responder.
    Então, tenho um link que tem apenas 1 IP público (Que é o link que estar passando todas as VPNs da filial sem redundância atualmente).
    Também tenho outro link com 5 IPs Públicos disponíveis (2 estão sendo usado), (Neste link atualmente não tem VPN).



  • Bom dia, se tu tiveres dois Links dedicados, pode criar um VIP apontado para dois endereços dos links, a aponta este teu VIP como endereço de conexão da VPN.



  • @hunterjn:

    Bom dia, se tu tiveres dois Links dedicados, pode criar um VIP apontado para dois endereços dos links, a aponta este teu VIP como endereço de conexão da VPN.

    Bom dia amigo.
    Acho que entendi. Neste caso na matriz terei que ter dois server do OPENVPN e no client criar um VIP apontando para os dois IP's da matriz?
    Se for isso onde que crio este VIP?



  • tenho essa curiosidade tambem… e provavelmente terei que fazer em breve... vou acompanhar o topico...

    se fosse hoje, eu faria da seguinte forma: criaria 2 servers VPN na matriz (cada um respondendo em uma interface/link diferente) mas que apontassem pra mesma rede

    e nas filiais, também criaria 2 conexões de cliente, uma para cada server da matriz (com os ips diferentes)

    ou tem algum jeito de fazer com apenas "1 configuração" em cada ponta (fazendo com que responda/conecte por mais de 1 IP)? Tentei explorar as opções aqui e não vi isso



  • fiquei curioso, fui pesquisar e achei este topico:

    http://forum.pfsense.org/index.php/topic,32429.msg167359.html#msg167359

    e olha que estava pinado nos tutoriais VPN deste fórum  :o

    bem, ali faz exatamente o que acho que queremos (pelo menos, será meu caso hehehe) e a solução foi simples porém elegante, fez apenas UM server na LAN e NAT em cada interface WAN apontando pra ela… eu nunca pensaria nisso... mania de complicar hehehe

    e vi que tiveram respostas no topico que já testaram e funcionou... mas não mostraram a configuração do CLIENT tentando conectar em 2 IP diferentes... como seria isso?



  • mais uma fuçadinha e encontrei a solução, adicionar mais um comando remote na configuração do client, sendo que pela GUI, seria no campo onde permite digitar os comandos adicionais (no fim da configuração)

    exemplo:

    remote x.x.x.x 1194 udp
    

    encontrei tudo na documentação oficial:

    https://doc.pfsense.org/index.php/Multi-WAN_OpenVPN



  • @chipbr:

    tenho essa curiosidade tambem… e provavelmente terei que fazer em breve... vou acompanhar o topico...

    se fosse hoje, eu faria da seguinte forma: criaria 2 servers VPN na matriz (cada um respondendo em uma interface/link diferente) mas que apontassem pra mesma rede

    e nas filiais, também criaria 2 conexões de cliente, uma para cada server da matriz (com os ips diferentes)

    ou tem algum jeito de fazer com apenas "1 configuração" em cada ponta (fazendo com que responda/conecte por mais de 1 IP)? Tentei explorar as opções aqui e não vi isso

    Boa amigo.
    Também havia pensado neste mesmo caso. porém não coloquei em prática ainda.
    Vou testar e lhe dar um retorno. Mas na verdade gostaria que fosse tudo em uma única configuração, é isto que eu estou procurando. Se não existir outra forma vou tentar esta que me parece também viável.
    Obrigado!



  • @chipbr:

    fiquei curioso, fui pesquisar e achei este topico:

    http://forum.pfsense.org/index.php/topic,32429.msg167359.html#msg167359

    e olha que estava pinado nos tutoriais VPN deste fórum  :o

    bem, ali faz exatamente o que acho que queremos (pelo menos, será meu caso hehehe) e a solução foi simples porém elegante, fez apenas UM server na LAN e NAT em cada interface WAN apontando pra ela… eu nunca pensaria nisso... mania de complicar hehehe

    e vi que tiveram respostas no topico que já testaram e funcionou... mas não mostraram a configuração do CLIENT tentando conectar em 2 IP diferentes... como seria isso?

    Perfeito. Vou lê o tutorial e tentar fazer.
    Também andei pesquisando e encontrei esses dois links que pode nos ajudar para nosso caso.
    Segue os site:
    http://wordpress.jpcorp.eti.br/?p=452
    https://andrelaudari.wordpress.com/2016/10/08/1235/



  • @chipbr:

    mais uma fuçadinha e encontrei a solução, adicionar mais um comando remote na configuração do client, sendo que pela GUI, seria no campo onde permite digitar os comandos adicionais (no fim da configuração)

    exemplo:

    remote x.x.x.x 1194 udp
    

    encontrei tudo na documentação oficial:

    https://doc.pfsense.org/index.php/Multi-WAN_OpenVPN

    Obrigado! Estou testando todas as alternativas possíveis.



  • pois eu também estava em busca deste disso, mas no meu caso ja tenho configurado meu clientes com as duas conexões e adicionei na interface do openvpn para any todas as placas de rede, mas o que acontece.

    quando tento conectar pela wan1 não consigo na vpn somente pela wan2 mas a configuração openvpn esta any, ai se eu mudar para somente a interface wan1 eu consigo conectar.

    não entedi o porque mas colegar sera que podem me ajudar, minha vpn é para os representantes

    aguardo uma dica





  • @isaiasbertin:

    pois eu também estava em busca deste disso, mas no meu caso ja tenho configurado meu clientes com as duas conexões e adicionei na interface do openvpn para any todas as placas de rede, mas o que acontece.

    quando tento conectar pela wan1 não consigo na vpn somente pela wan2 mas a configuração openvpn esta any, ai se eu mudar para somente a interface wan1 eu consigo conectar.

    não entedi o porque mas colegar sera que podem me ajudar, minha vpn é para os representantes

    aguardo uma dica

    Amigo, fiz esses teste de adicionar duas conexões, uma para cada interface. A conexão é criado porém nem um ping funciona, apenas o primeiro server que foi criado. Se eu derrubar a conexão do server primário a outra interface que deveria assumir, não funciona. Simplesmente, não passa nenhum dado. Acho que outra alternativa seria criar uma conexão OpenVPN para uma interface e outra para ipsec.



  • @CoolMan:

    @chipbr:

    mais uma fuçadinha e encontrei a solução, adicionar mais um comando remote na configuração do client, sendo que pela GUI, seria no campo onde permite digitar os comandos adicionais (no fim da configuração)

    exemplo:

    remote x.x.x.x 1194 udp
    

    encontrei tudo na documentação oficial:

    https://doc.pfsense.org/index.php/Multi-WAN_OpenVPN

    Obrigado! Estou testando todas as alternativas possíveis.

    Até funcionou, porém quando eu derrubo a conexão da primária a secundária demora cerca de 5 minutos para começar a trafegar dados e as vezes nem funciona.



  • A dúvida é.. quando tem um Link A, ele cai.. o Link B assume.. openvpn vai para esse link.. porem quando
    o link A volta.. as conexões deveria retornar.. creio que não acontece.



  • @thiagomespb:

    A dúvida é.. quando tem um Link A, ele cai.. o Link B assume.. openvpn vai para esse link.. porem quando
    o link A volta.. as conexões deveria retornar.. creio que não acontece.

    não… vai continuar pela B... ele não vai derrubar automático para volta para A (até porque isso faria com que caisse toda a VPN, o q não é legal)



  • @chipbr:

    @thiagomespb:

    A dúvida é.. quando tem um Link A, ele cai.. o Link B assume.. openvpn vai para esse link.. porem quando
    o link A volta.. as conexões deveria retornar.. creio que não acontece.

    não… vai continuar pela B... ele não vai derrubar automático para volta para A (até porque isso faria com que caisse toda a VPN, o q não é legal)

    Como não é legal ? se o link B por apenas de backup e baixa velocidade ? teria que voltar para o link A.. eu tenho esse problemas desde o inicio..
    acredito que isso seria um bug.. até pq é um faiolver..



  • @mantunespb:

    Como não é legal ? se o link B por apenas de backup e baixa velocidade ? teria que voltar para o link A.. eu tenho esse problemas desde o inicio..
    acredito que isso seria um bug.. até pq é um faiolver..

    Bem, eu não sei você, mas aqui na empresa e em todos os meus clientes, todos preferem trabalhar mais um pouco mais lento do que derrubar a conexão no meio do expediente.