[solved] openvpn Client mit MultiWAN *und* HA Failover



  • Hi,

    nachem alles perfekt läuft mit MultiWAN und HA-Failover auf meinen beiden pfSensen, bleibt noch eine letzte Frage offen.
    Momentan läuft auf dem Master ein openvpn Client, der eine entsprechende Verbindung nach draußen aufbaut. Das klappt soweit ebenfalls.
    Was ich nicht hinbekommen habe, ist diese VPN Verbindung so hinzubiegen, dass sie auf Master und Backup verfügbar ist, aber nur auf dem Master aufgebaut wird.
    Wenn ich die ganz normal über die Config übertragen lasse, versuchen beide, die aufzubauen, was bei einem der beiden schief geht. Aktuell ist die Verbindung auf das MultiWAN-IF konfiguriert, damit ich sie beim Gateway-Switching weiter nutzen kann.
    Die Artikel, die ich gelesen habe, sagen alle was davon, dass man für HA-Failover die Verbindung auf eine CARP-IP setzen soll, aber dann verliere ich an der Stelle ja die MultiWAN Funktionalität.
    Oder verstehe ich das mist?

    Oder ist das etwas, was aktuell einfach nicht geht?

    Danke und ciao.
    Michael.


  • Moderator

    Was ich nicht hinbekommen habe, ist diese VPN Verbindung so hinzubiegen, dass sie auf Master und Backup verfügbar ist, aber nur auf dem Master aufgebaut wird.
    Die Artikel, die ich gelesen habe, sagen alle was davon, dass man für HA-Failover die Verbindung auf eine CARP-IP setzen soll, aber dann verliere ich an der Stelle ja die MultiWAN Funktionalität.

    He? Moment, wie funktioniert denn dein OpenVPN Client dann "jetzt mit MultiWAN"? Was ist denn dein "MultiWAN IF"? Es gibt im Normalfall kein Interface für Multi-WAN, sondern lediglich eine Gateway-Gruppe. Die dir für OpenVPN nichts bringt. Könntest du das ausführen?

    Ansonsten ist das korrekt was beschrieben steht, man konfiguriert den Client auf die CARP IP, dann wird auch nur der Active Node die Verbindung aufbauen. Abgehend kann man hier m.W. mit einer Floating Regel dann noch was tun, um das ggf. via Multi-WAN abgehend rauszubekommen, aber das müsste man nochmal testen.

    Gruß



  • @JeGr:

    Was ich nicht hinbekommen habe, ist diese VPN Verbindung so hinzubiegen, dass sie auf Master und Backup verfügbar ist, aber nur auf dem Master aufgebaut wird.
    Die Artikel, die ich gelesen habe, sagen alle was davon, dass man für HA-Failover die Verbindung auf eine CARP-IP setzen soll, aber dann verliere ich an der Stelle ja die MultiWAN Funktionalität.

    He? Moment, wie funktioniert denn dein OpenVPN Client dann "jetzt mit MultiWAN"? Was ist denn dein "MultiWAN IF"? Es gibt im Normalfall kein Interface für Multi-WAN, sondern lediglich eine Gateway-Gruppe. Die dir für OpenVPN nichts bringt. Könntest du das ausführen?

    Hm, man kann doch bei Interface den Eintrag "GW Group <wasauchimmer>" auswählen - ob das jetzt als IF oder als GW-Group bezeichnet wird, ist von der Stelle abhängig, an der man das auswählt.
    Und doch, die bringt für openvpn was - der GW-Switch klappt ohne Probleme.

    @JeGr:

    Ansonsten ist das korrekt was beschrieben steht, man konfiguriert den Client auf die CARP IP, dann wird auch nur der Active Node die Verbindung aufbauen. Abgehend kann man hier m.W. mit einer Floating Regel dann noch was tun, um das ggf. via Multi-WAN abgehend rauszubekommen, aber das müsste man nochmal testen.

    Gruß

    Wie gesagt, MultiWAN klappt problemlos, nur HA-Failover nicht.

    Ciao.
    Michael.</wasauchimmer>



  • Hrmpf, man sollte auch einen geeigneten Test durchführen.
    Nach deinen Anmerkungen habe ich doch nochmal getestet, ob das wirklich klappt, aber nein, du hattest natürlich recht, es klappt nicht.
    Ich hatte den Test nur so gemacht, dass ich das eine Gateway als down markiert habe - was klarerweise nicht hilft, wenn die Defaultroute immer noch über das Interface darunter läuft 8-(

    Ok, dann also doch über die CARP-IP.

    Hättest du einen Tip, wie die FLoeating Rule deines Wissens nach aussehen sollte?

    Danke und ciao.
    Michael.


  • Moderator

    Ich glaube es sollte möglich sein, wenn du eine Floating Regel erstellst, ausgehend (nicht eingehend) auf den beiden WAN Interfaces und dort als ZielIP und Zielport den VPN Port (1194?) und in den advanced settings das Gateway zuweist.

    Allerdings habe ich ein älteres Setup nochmal angesehen, dort hat es mit der Gateway Gruppe tatsächlich funktioniert. Wichtig ist aber, dass die GW Gruppe die CARP IPs beinhaltet, damit sollte dann auch das Standby Problem aus der Welt sein. Sprich: Tier 1 und Tier 2 setzen und NICHT Interface Address, sondern die jeweilige VIP aus dem WAN Netz nehmen!

    Gruß



  • @JeGr:

    Ich glaube es sollte möglich sein, wenn du eine Floating Regel erstellst, ausgehend (nicht eingehend) auf den beiden WAN Interfaces und dort als ZielIP und Zielport den VPN Port (1194?) und in den advanced settings das Gateway zuweist.

    Allerdings habe ich ein älteres Setup nochmal angesehen, dort hat es mit der Gateway Gruppe tatsächlich funktioniert. Wichtig ist aber, dass die GW Gruppe die CARP IPs beinhaltet, damit sollte dann auch das Standby Problem aus der Welt sein. Sprich: Tier 1 und Tier 2 setzen und NICHT Interface Address, sondern die jeweilige VIP aus dem WAN Netz nehmen!

    Gruß

    Danke für deine Antwort.
    Ich probier das mal durch, sobald ich wieder etwas mehr Luft habe.

    Ciao.
    Michael.



  • Ok, got it.
    Der folgende Artikel hat mich auf die richtige Spur gebracht:
    https://forum.pfsense.org/index.php?topic=128174.msg706729#msg706729

    Man setzt wirklich das IF für den openvpn Client auf das MultiWAN-Gateway.

    Was ich allerdings nicht hatte/wusste, war bei der Gatewaygroup bei allen beteiligten Gateways die Einstellung auf die virtuelle CARP-IP, nicht auf "interface address" zu setzen.
    Darüber kann man wirklich CARP und MultiWAN für alle benötigten Zwecke kombinieren.

    Der o.a. Artikel ist allerdings von März 2017, d.h. ich habe keine Ahnung, ab welcher pfSense-Version so etwas geht.

    Achso ja - für mein openvpn musste ich noch bei "Custom options" die Option "allow-recursive-routing;" setzen, weil mein VPN-Server in einem der Netze liegt, die ich in "IPv4 Remote network(s)" eintragen muss, und openvpn sonst alle Pakete für diese IP wegwirft.

    In jedem Fall "again what learned" (um mit Lothar Matthäus zu sprechen).

    @JeGr: Danke auch nochmals für deine hilfreichen Anmerkungen.

    Ciao.
    Michael.


  • Moderator

    Ja, die Sache mit den Adressen beim Gateway hatte ich ja erwähnt, die ist aber generell bei HA Setups immer wichtig und zu beachten. Nicht nur bei Gateway Gruppen, sondern auch bei u.a. solchen Punkten wie Outbound NAT (da ist automagisch ja auch immer auf die IF Adresse genattet), bei Services, die sonst direkt auf der Sense laufen und deren IP nutzen, Proxy, etc. etc. - bei einem HA Setup muss man da gern nochmal alles überfliegen und wirklich nur da Interface Address auswählen, wo es wirklich gewollt ist. Ansonsten braucht es fast überall (meistens) die CARP IP.

    Ist auch ein Punkt der uns bei Support Calls und Audits immer wieder auffällt (und auch die Fragen aufwirft, warum nach Failover XY nicht läuft). :)

    Grüße