Serveradresse OpenVPN



  • Hallo

    ich betreibe eine OpenVPN Verbindung von Standort B zum Standort A.
    Am Standort A habe ich zwei feste IP, von zwei verschiendenen Providern über zwei WAN Anschlüssen.

    Normalerweise geht die OpenVPN-Verbindung über Provider A, also habe ich die feste IP von Provider A eingetragen.

    Gestern viel Provider A am Standort A komplett aus.

    Kann man am Standort B in der dortigen pfsense auch 2 IP-Adressen eintragen, wenn eine Ausfällt, das er dann die zweite nimmt.

    Danke


  • Moderator

    Ja! Indem du einen weiteren "remote" Eintrag in die Advanced Settings Textbox weiter unten hinzufügst. Dort einfach sowas wie:

    remote <ip>1194 udp;

    hinzufügen und du hast dein Failover. :) Notfalls noch die Timeout und Retry Werte anpassen/überschreiben, dass der Tunnel schneller merkt, dass er keine Gegenstelle mehr hat und sich dann neu aufbaut und ggf. schneller merkt, dass er auf A keine Antwort mehr bekommt und B nutzen soll.

    Ein Failbakc ist dann aber nur manuell/bei nächster Einwahl möglich.

    Gruß</ip>



  • Hallo

    meinst Du diese Einstellung beim Client? siehe Anhang.

    Was muss ich jetzt beim Server am Standort A eintragen? Ich komme jetzt ja nicht mehr über WAN A sondern WAN B, und ich muss ja am Server auch das incomming Interface angeben.

    Christian




  • Hallo,

    ja genau da in der Client Konfig. Das ";" ist nur als Trennzeichen bei mehreren Einträgen erforderlich, stört aber vermutlich auch nicht.

    Am Server kannst du ein Port Forwarding von der einer auf die andere IP einrichten.
    Ich lasse den VPN Server gerne auf eine interne IP oder auf localhost lauschen und richte am WAN nur Weiterleitungen dahin ein.

    Grüße





  • Nicht wirklich. Die Anleitung beschreibt die Einrichtung eines Access Servers unter Nutzung von DynDNS auf einer Gateway Group.
    Soweit ich deine Anforderung verstanden, habe trifft nichts davon auf deinen Aufbau zu.

    Eine Gateway Group könntest du natürlich für deine beiden WANs einrichten, würde Sinn machen. Dann könnte der VPN Server ebenfalls auf der GW Group lauschen anstatt der Port Weiterleitungen.
    Doch wenn es ausschließlich um die Site-to-Site VPN geht, kann auch der Server auf irgendeinem Interface lauschen und die Anfragen werden von beiden WAN-IP dahin geleitet, und der Client wird mit zwei Remote-Einträgen konfiguriert, wie von Jens beschrieben.



  • Was muss ich dann  für das 2 Wan in der Pfsene am Standort A Eintragen.

    Jetzt ist er ja schon am laufen:
    1. Standort A, openVPN Server mit Interface A
    2. Standort B, openVPN  Client mit Server feste IP auf Interface A am Standort A
    -> das ist am Laufen
    Änderungen:
    Eintrag am Standort B: remote <ip>1194 udp; (feste IP Interface B am Standort A)
    Frage:
    Wie routing von Interface B auf Interface A am Standort A?</ip>



  • Ein normales Portforwarding von der 2. auf die 1. WAN IP.

    Firewall > NAT > Port Forwarding.
    Eine neue Regel hinzufügen.
    Interface: WAN B
    Protokoll: UDP
    Destination: WAN B address
    Dest. Port range: OpenVPN
    Redirect target IP: WAN A IP
    Redirect target port: OpenVPN

    Der Client ist schon in Ordnung.



  • Hallo,

    habe die Umleitung gerade ausprobiert und habe ein ganz komisches Verhalten. Am Standort A (mit den 2 WAN Leitungen ist die Leitung up, am Standort B (Client ist die Leitung down. Habe Bilder angefügt, zur Erklärung Bild 001-003 ist Standort A (Server) Bild 004-006 ist Standort B Client.
    Zur Erklärung, mein Open VPN läuft nicht auf UDP 1194 sondern 24100.














  • Hallo,

    den Source Port darfst du in der Weiterleitung nicht definieren, der muss any sein.
    Damit beschränkst du ihn ja auf 24100, was wohl selten zutrifft.

    Du erwartest dir aber nicht, dass sich der Client mit beiden Adressen gleichzeitig verbindet? Er kann sich bei einem Site-to-Site Server nur mit einer der beiden verbinden.

    Grüße



  • Wenn ich den Source Port nicht auf 24100 beschränke, werden doch alle Ports die über dieses WAN kommen über diese Umleitung geroutet.
    Der Client soll sich nur bei Ausfall der WAN-Leitung A beim Server auf der WAN-Leitung B verbinden. Das ganze soll ein Backup sein.



  • Nein, nur der Zielport ist entscheidend. Das ist der, auf den sich der Client verbinden möchte. Der ist hier 24100 und dieser wird weitergeleitet, wenn er bei Destination Port eingetragen ist (ist er ja), nur dieser.
    Der Quellport ist der ausgehende Port am Client, der ist dynamisch und kann alles Mögliche sein. Der wird meist vom Betriebssystem der Anwendung zugeteilt. Nur ganz wenige Netzwerk-Anwendungen bestehen auf einen bestimmten Quellport, für diese gibt es die Option, den Port anzugeben.


  • Moderator

    https://doc.pfsense.org/index.php/Multi-WAN_OpenVPN

    Dort ist beschrieben wie das gebaut wird vom Prinzip her. Der Standort mit Multi-WAN bekommt den Server auf localhost, WAN1 und WAN2 bekommen ein Port Forwarding des genutzten Ports udp/1194 (default) auf localhost/1194. Damit ist es egal ob auf WAN1 oder 2 angefragt wird, es wird immer intern mit dem gleichen Server verbunden.

    Die Client Seite wird dann ganz normal gebaut nur mit dem Zusatz dass unten eben noch das zweite Remote Statement mit rein kommt. Die zusätzlichen Route Einträge kann man sich BTW ebenfalls schenken, wenn man die am Server bzw. am Client gleich richtig konfiguriert (mehrere Netze können angegeben werden als remote/local).

    Wenn beide Leitungen gleich "stark" sind und es egal ist, ob sich ein Client über 1 oder 2 verbindet, kann man zusätzlich noch remote-random; angeben, dann wird round robin gewählt, welche Leitung verwendet wird. Damit kann man dann bei mehreren Clients die Einwahl auch noch über zwei Leitungen streuen / verteilen. Muss man dann nur nach einem Ausfall mal alle trennen und wieder verbinden lassen, sonst hat man alle auf einer Leitung hängen :)



  • Super, es funktioniert
    Danke