VPN als Backup für direkte LAN Verbindung



  • Mahlzeit zusammen.
    Ich muss ein VPN (welches ist erst mal egal) als Backup für eine direkte WLAN Verbindung zwischen zwei pfsense Routern (Richtfunk) bauen. Hab es mit GRE Tunnel auf WAN Seite und IPSec im Transport Mode versucht und dann mit ner Gateway Gruppe auf beiden Seiten zu Routen. Kein Traffic Flow möglich. Dann hab ich die States per regeln ignoriert und dann ging es, allerdings nur so weit das der VPN Tunnel einspringt wenn die LAN verbindung zusammen bricht allerdings nicht mehr zurück. Sprich wenn die LAN Verbindung wieder kommt bleibt er auf der langsamen IPSEC Verbindung. Der nächste Versuch war per QUAGGA OSPF eine Gewichtung auf die beiden Routen zu packen allerdings propagiert er scheinbar meine Routen nicht über den IPSEC Tunnel. Hat jemand ne Idee oder das gar schonmal so realisiert? Ich bin auch durchaus offen für alternativ Lösungen.


  • LAYER 8 Moderator

    Das ist gerade etwas vage und konfus von der Beschreibung. Kannst du da ggf. etwas näher beschreiben, was du hast und was gelöst sein soll? Und warum VPN als Backup auf WAN(?)

    Grüße



  • Nicht, dass ich das schonmal mit ner pfSense gemacht hätte, aber für OSPF / IPSEc muss man zumindest bei Cisco ASA OSPF Static Neighbors setzen, sonst klappt das Routing nicht.
    Aber probier doch mal das hier:
    https://forum.pfsense.org/index.php?topic=106559.0



  • Also vom grundprinzip haben wir ein Rechenzentrum an das ein Kunde via Richtfunk angebunden ist, derzeit läuft das Routing bei ihm über eine Juniper SSG und bei uns über eine amtliche Lanner Appliance (2x FW-8758, Quadcore i5 @3 Ghz und 8 GB RAM, CARP Cluster). Die Richtfunke ist als L2 Bridge konfiguriert und ich route die Kunden Netze via Static routes auf deren Next Hop Ip auf einem der Interfaces meiner Appliances. Klappt auch soweit, und das seit 2 Jahren hervorragend. Der Kunde möchte aber nun einen Failover / Failback haben über eine VPN verbindung falls ihm seine Richtfunke weg stirbt. Da ich mich im Inneren von der Idee die Juniper und die pfSense zusammen zu bringen schon verabschiedet hatte gibt es halt auch die möglichkeit das irgendwie via OpenVPN und einer virtuellen pfSense auf Seiten des Kunden zu realisieren, desswegen sagte ich halt das ich offen bin für andere vorschläge.

    Hab mal ein Bild angehängt, vielleicht wird es dann klarer.

    Das mit den Static Neighbors probier ich nächste Woche mal wenn ich luft habe.
    Wenn ich auf beiden Seiten nen Cisco ISR hätte hätte ich einfach zwei Static Routen mit unterschiedlichen Administrativen Distanzen gesetzt aber das scheint es in der pfSense nicht zu geben oder ich habs nicht gefunden.




  • In einem früheren Leben hatten wir mal einen Haufen Standorte, die alle mit OpenVPN Layer2 Tunneln (TAP) verbunden waren. Dynamisches Routing liess sich da prima drüber fahren. Mit ner pfSense hab ich das noch nicht gemacht, damals wars alles Konsolenhandarbeit mit Linux Büchsen. Aber im Prinzip sollte OSPF über OpenVPN im Bridge Modus auch auf der pfSense klappen. O.g. Link scheint ja ein erfolgreiches Setup zu beschreiben.



  • Wie würdest du das szenario denn angehen athurdent?


  • LAYER 8 Moderator

    gibt es halt auch die möglichkeit das irgendwie via OpenVPN und einer virtuellen pfSense auf Seiten des Kunden zu realisieren, desswegen sagte ich halt das ich offen bin für andere vorschläge.

    Ja, mit OpenVPN kannst du das machen. Mit IPSec momentan m.W. nicht, da dir hier schlichtweg das Pseudo Interface fehlt. Mit FreeBSD 12(?) wird das m.W. nachgerüstet so dass es später wohl auch mit IPSec gehen dürfte.

    Vorgehensweise wäre jetzt wie folgt. Wenn auf der anderen Seite jetzt keine Juniper hängen würde, wo der WiFi Kanal terminiert ist, würdest du zwischen deiner pfSense und der Kiste auf der anderen Seite ein OpenVPN Site2Site Netz einrichten, aber ohne Routen zu pushen. Weder Client noch Server. Dann würde man auf der pfSense das OVPNC/S Interface nehmen und es manuell als Interface hinzufügen, aktivieren aber die Interfaces auf none lassen. Dann den Tunnel nochmals aufbauen lassen. Danach steht ein lokales Interface OVPNC/Sx zur Verfügung und der Reiter erscheint auch in den Firewall Regeln. Zusätzlich erscheint, ähnlich wie bei DSL Interfaces, ein dynamisches Gateway mit der Adresse des Transfernetzes, das für OVPN definiert wurde. Somit hast du dein zweites Gateway. Jetzt erstellt man eine Gateway Gruppe und packt dort als Tier 1 das Gateway der WiFi Bridge rein und als Tier2 das Gateway des VPN Tunnels rein. Auf der Gegenseite natürlich ebenso. Anschließend wird dann auf der oder den "LAN" Seiten noch Policy Based Rules erstellt, die Traffic an Zielnetz Kunde (bzw. Zielnetz RZ auf der anderen Seite) über diese Gateway Gruppe routen. Somit läuft der Traffic normalerweise über das WiFi Gateway und im Error Fall dann via WAN/VPN.

    Grüße



  • Sodella, ich habs final hingebogen bekommen.

    Die Backup verbindung läuft jetzt über OpenVPN, hier habe ich ein einfachs Client Server S2S Setup gemacht allerdings ohne local und remote networks zu definieren.
    Danach hab ich QuaggaOSPFd installiert und hier meinem "WLAN Direct Radio" Interface eine Administrative Distanz von 10 gegeben (da wo die interfaces im Quagga defininiert werden), das OpenVPN Interface hat entsprechend eine "höhere" gewichtung bekommen damit ich solange mein "WLAN Direct Radio" interface Up ist bzw. OSPF Hellos empfängt immer automatisch über dieses Interface meine Routen propagiere. Den Hello Timer habe ich auf 5 Sekunden gesetzt. Das LAN habe ich als passive interface definiert. Der Tunnel ist jetzt immer parallel zu dem direkten Interface UP und ich sehe zwei routen zu meinem neighbour router. Geht das direkte Interface down schwenkt er automatisch (1 ping verlust) auf OpenVPN um, kommt das interface wieder UP schwenkt er weider zurück, das dauert dann halt im Worst Case 5 Sekunden (ich könnte den Hello Timer ja auch runter setzen). Aber so spielt es.
    Ich denke das ich einfach eine APU2 auf Kunden Seite hin schmeiße und dann meinen Failover dadrüber mache und dann weiter an die SSG gehe, die kann ja leider kein OSPF und mit IPsec hab ich es leider noch nicht ans rennen gebracht.

    Danke aber für eure Hilfe.


  • LAYER 8 Moderator

    @janstockem
    Und wo war das Problem das mit Gateway Gruppen zu lösen? Oder gar nicht erst versucht? OSPF fand ich jetzt als Vorschlag etwas Overkill aber schön wenn es so auch klappt. Frage mich nur ob dein Failover Szenario mit Gateway Gruppe nicht schneller und einfacher durchschaubar gewesen wäre?

    Grüße



  • Doch hatte es zu erst mit Gateway Gruppen probiert da ging aber kein Traffic Flow durch wenn ich nicht den State Check komplett mit disabled habe, was ich prinzipiell ungünstig finde für ne statefull Firewall. Mit OSPF hab ich jetzt zusätzlich die Möglichkeit noch schön weitere Wege dynamisch hinzuzufügen ohne großen Stress, zum Beispiel das Ding komplett via OVPN zu meshen. Vor allem hab ich noch dienhoffnung das ich die OSPF Routen noch via IPSEC durch bekomme und auf der anderen Seite an der bereits vorhandenen SSG zu terminieren anstatt noch ne zusätzliche Hardware pfsense zu bauen nur für die failover Geschichte. Jedenfalls spielt es jetzt so wunderbar und ich bin flexibler.


Log in to reply