Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Redundante VPN site-to-site

    Scheduled Pinned Locked Moved Deutsch
    7 Posts 2 Posters 1.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      damichidd
      last edited by

      Hallo zusammen,

      ich würde gerne 2 Standorte über VPN vernetzen,
      an beiden Standorten sind 2 ADSL-Leitung und eine PFSENSE-Firewall vorhanden.
      Momentan habe ich auf einer PFSENSE 2 OpenVPN Server mit dem jeweiligen WAN-Interface erstellt,
      die Clients auf der 2. PFSENSE sind auch verbunden.

      Wäre es möglich die beiden Tunnel zu bündeln um so einen Lastenausgleich und Failover zu realisieren ?

      Danke und Grüße

      Michi

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Hallo Michi,

        natürlich kannst du jeweils ADSL#1 mit #1 und #2 mit #2 verbinden und damit dann 2 getrennte parallele Tunnel aufbauen. ABER: das geht dann m.W. nur via OpenVPN, da du bei IPSec zwei gleiche Phasen 2 definineren müsstest und die interne Routing Engine damit durcheinander käme (du kannst ein Netz nicht über 2 Wege erreichen). Mit OpenVPN und gebundenem Interface und damit Gateway wäre das denkbar(er) wobei ich da keine Gewähr für übernehme, könnte aber klappen.

        Du hast aber einen Punkt übersehen bei deinem Failover: Wenn an Standort 1 ADSL#1 und an Standort 2 ADSL#2 stirbt, hast du gar keinen Tunnel mehr aktiv, denn beide sind jeweils an einem Ende gestört und du hast nichts mehr. Wenn du statt deinem Lastausgleich "echtes" Failover haben willst, wäre das aber möglich.

        Du müsstest lediglich auf der Server Seite den OpenVPN Server auf Localhost binden und auf jedem WAN einen PortForward für 1194/udp einrichten -> damit sind dann beide WANs für den gleichen OpenVPN Server erreichbar. Eine Einwahl kann also über beide WANs erfolgen je nachdem welcher Online ist. Den VPN Client auf der anderen Seite kann man dann mit beiden WANs im RoundRobin konfigurieren, so dass abgehend eine der beiden Adressen der WANs angesprochen wird und falls das nicht antwortet zum nächsten gesprungen wird.

        Damit ist das zwar nur ein Tunnel, aber der dafür wirklich ausfallsicher.

        Gruß

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • D
          damichidd
          last edited by

          Hallo JeGr,

          ich habe den OpenVPN auf das LAN-Interface gebunden und eine Weiterleitung einrgerichtet, die CLients sind auch verbunden.
          Wäre es sinnvol die die Clients noch über Kreuz mit dem Server zu verbinden ?
          Also

          Client        Server
          WAN1  =>  WAN2
          WAN2  =>  WAN1

          Round Robin realisiere ich mit Gateway Groups ?

          Danke und Grüße

          Michi

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            LAN-Interface

            Localhost bitte, nicht auf das LAN, da hat er nix zu suchen. :)

            Wäre es sinnvol die die Clients noch über Kreuz mit dem Server zu verbinden ?

            ? Meine Antwort war ja gerade nicht 2 VPNs zu basteln, sondern eines mit sinnvollem Failover, damit es egal ist, welches WAN an welchem Standort tot ist. Und RoundRobin muss in die OpenVPN Konfiguration rein, denn der VPN Daemon muss ja beim Einwählen einen der beiden Endpunkte nutzen, die verfügbar sind. :)

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • D
              damichidd
              last edited by

              Ich Depp,  du hattest ja auch Localhost geschrieben :/  - wurde geändert.

              Am Client muss ich dann 2 Verbindung zu den 2 öffentlichen IP`s des Server einrichten oder ?
              Wie konfiguriere ich RoundRobin ?

              Danke für die Unterstützung

              Grüße Michi

              1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator
                last edited by

                Den Client konfigurierst du eigentlich ganz normal und trägst bei "server host or address" die erste IP ein (oder (D)DNS Namen). Ansonsten ganz normal durchkonfigurieren und testen. Wenn es läuft, dann im Custom Options Feld noch zusätzlich

                remote 2.3.4.5 1194
                oder
                remote mein.name.de 1194

                angeben (sofern du udp 1194 nutzt). Dann wird in die Konfiguration ein zweiter Remote Eintrag eingefügt. Sollte sich anzeigen lassen in

                /var/etc/openvpn/client1.conf
                (ggf. unter Diagnostic, edit file mal anzeigen lassen).

                Der erste Eintrag wird immer gewählt, außer er klappt nicht, dann fällt er auf den zweiten zurück, zumindest laut OpenVPN Doku. Wenn du willkürlich einen der beiden auswählen willst, musst du als zweite Zeile in custom options noch

                remote-random

                einfügen. Dann kannst du versuchen die Verbindung mehrfach neu aufbauen zu lassen, dabei sollte er dann mal die erste und mal den zweite Verbindung nutzen (nur um zu sehen ob es geht).

                Grüße

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                1 Reply Last reply Reply Quote 0
                • D
                  damichidd
                  last edited by

                  Funktionier perfekt, vielen Dank.

                  Grüße Michi

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.