Redundante VPN site-to-site



  • Hallo zusammen,

    ich würde gerne 2 Standorte über VPN vernetzen,
    an beiden Standorten sind 2 ADSL-Leitung und eine PFSENSE-Firewall vorhanden.
    Momentan habe ich auf einer PFSENSE 2 OpenVPN Server mit dem jeweiligen WAN-Interface erstellt,
    die Clients auf der 2. PFSENSE sind auch verbunden.

    Wäre es möglich die beiden Tunnel zu bündeln um so einen Lastenausgleich und Failover zu realisieren ?

    Danke und Grüße

    Michi


  • Moderator

    Hallo Michi,

    natürlich kannst du jeweils ADSL#1 mit #1 und #2 mit #2 verbinden und damit dann 2 getrennte parallele Tunnel aufbauen. ABER: das geht dann m.W. nur via OpenVPN, da du bei IPSec zwei gleiche Phasen 2 definineren müsstest und die interne Routing Engine damit durcheinander käme (du kannst ein Netz nicht über 2 Wege erreichen). Mit OpenVPN und gebundenem Interface und damit Gateway wäre das denkbar(er) wobei ich da keine Gewähr für übernehme, könnte aber klappen.

    Du hast aber einen Punkt übersehen bei deinem Failover: Wenn an Standort 1 ADSL#1 und an Standort 2 ADSL#2 stirbt, hast du gar keinen Tunnel mehr aktiv, denn beide sind jeweils an einem Ende gestört und du hast nichts mehr. Wenn du statt deinem Lastausgleich "echtes" Failover haben willst, wäre das aber möglich.

    Du müsstest lediglich auf der Server Seite den OpenVPN Server auf Localhost binden und auf jedem WAN einen PortForward für 1194/udp einrichten -> damit sind dann beide WANs für den gleichen OpenVPN Server erreichbar. Eine Einwahl kann also über beide WANs erfolgen je nachdem welcher Online ist. Den VPN Client auf der anderen Seite kann man dann mit beiden WANs im RoundRobin konfigurieren, so dass abgehend eine der beiden Adressen der WANs angesprochen wird und falls das nicht antwortet zum nächsten gesprungen wird.

    Damit ist das zwar nur ein Tunnel, aber der dafür wirklich ausfallsicher.

    Gruß



  • Hallo JeGr,

    ich habe den OpenVPN auf das LAN-Interface gebunden und eine Weiterleitung einrgerichtet, die CLients sind auch verbunden.
    Wäre es sinnvol die die Clients noch über Kreuz mit dem Server zu verbinden ?
    Also

    Client        Server
    WAN1  =>  WAN2
    WAN2  =>  WAN1

    Round Robin realisiere ich mit Gateway Groups ?

    Danke und Grüße

    Michi


  • Moderator

    LAN-Interface

    Localhost bitte, nicht auf das LAN, da hat er nix zu suchen. :)

    Wäre es sinnvol die die Clients noch über Kreuz mit dem Server zu verbinden ?

    ? Meine Antwort war ja gerade nicht 2 VPNs zu basteln, sondern eines mit sinnvollem Failover, damit es egal ist, welches WAN an welchem Standort tot ist. Und RoundRobin muss in die OpenVPN Konfiguration rein, denn der VPN Daemon muss ja beim Einwählen einen der beiden Endpunkte nutzen, die verfügbar sind. :)



  • Ich Depp,  du hattest ja auch Localhost geschrieben :/  - wurde geändert.

    Am Client muss ich dann 2 Verbindung zu den 2 öffentlichen IP`s des Server einrichten oder ?
    Wie konfiguriere ich RoundRobin ?

    Danke für die Unterstützung

    Grüße Michi


  • Moderator

    Den Client konfigurierst du eigentlich ganz normal und trägst bei "server host or address" die erste IP ein (oder (D)DNS Namen). Ansonsten ganz normal durchkonfigurieren und testen. Wenn es läuft, dann im Custom Options Feld noch zusätzlich

    remote 2.3.4.5 1194
    oder
    remote mein.name.de 1194

    angeben (sofern du udp 1194 nutzt). Dann wird in die Konfiguration ein zweiter Remote Eintrag eingefügt. Sollte sich anzeigen lassen in

    /var/etc/openvpn/client1.conf
    (ggf. unter Diagnostic, edit file mal anzeigen lassen).

    Der erste Eintrag wird immer gewählt, außer er klappt nicht, dann fällt er auf den zweiten zurück, zumindest laut OpenVPN Doku. Wenn du willkürlich einen der beiden auswählen willst, musst du als zweite Zeile in custom options noch

    remote-random

    einfügen. Dann kannst du versuchen die Verbindung mehrfach neu aufbauen zu lassen, dabei sollte er dann mal die erste und mal den zweite Verbindung nutzen (nur um zu sehen ob es geht).

    Grüße



  • Funktionier perfekt, vielen Dank.

    Grüße Michi