Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    OpenVPN s2s Client bei failover-WAN-Server

    Scheduled Pinned Locked Moved Deutsch
    4 Posts 3 Posters 373 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • T
      tpf
      last edited by tpf

      Servus,
      wo war denn gleich wieder die zweite IP im s2s-Client (ebenfalls pfS) einzutragen, wenn der Server dual-WAN hat?

      Was ist da heute eigentlich best practice? Zweite Failover-IP eintragen oder multiple Tunnel? Das zweite WAN ist deutlich schmalbandiger. Die Clients selbst haben nur ein WAN.

      Danke & Grüße

      10 years pfSense! 2006 - 2016

      1 Reply Last reply Reply Quote 0
      • V
        viragomann
        last edited by

        Hallo,

        in den Custom Options:

        remote <Hostname> <Port> <Protokoll>

        Best Practice hängt wohl von den individuellen Bedürfnissen ab.
        Ich habe eine 2. IP so wie oben eingerichtet. Das hat auch einen Nachteil: die bevorzugte, schnellere Verbindung ist nicht so stabil. Wenn die ausfällt (offenbar restarten da Router beim Kabel-Provider, dauert immer ca. 1 Minute), verbindet sich der Client mit der alternativen IP, und die hält dann. 😡
        Ist aber für meine aktuellen Zwecke okay, das was da drüber muss, hat meist Zeit, und wenn ich mal mehr Tempo benötige, restarte ich den Client.

        Wenn du von Haus aus 2 VPNs einrichtest, musst du eben eine Gateway Group dafür konfigurieren und diese in den Regeln verwenden. Ob diese dann immer das gewünschte macht, weiß ich aber auch nicht.

        Grüße

        1 Reply Last reply Reply Quote 1
        • JeGrJ
          JeGr LAYER 8 Moderator
          last edited by JeGr

          Da stimme ich zu. Best practice per se gibts da eher weniger, das kommt immer auf den konkreten Fall an. Gerade wenn eine Verbindung deutlich schmaler ist als die andere, will man ja eigentlich eher den Fallback dann wieder auf die alte Verbindung haben. Wenn es dann nur ein oder zwei Außenstellen sind, ist es vielleicht noch ganz gut machbar, bei Bedarf den Server kurz zu restarten, damit sich die Clients neu über die dicke Leitung einwählen.

          Andere Variante wäre natürlich stets zwei Tunnel aufzubauen, keine Netze zu pushen und das ganze ggf. mit einer GW Gruppe oder mit OSPF zu machen und die höhere Leitung zu priorisieren. Vorteil is dann dass OSPF schneller und präziser den Traffic wieder über die Dicke Leitung schubsen kann wenn das Gateway wieder hochkommt.

          Ist aber auch immer eine Sache der Handhabung.

          Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

          If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

          1 Reply Last reply Reply Quote 1
          • T
            tpf
            last edited by

            Danke, Männer! Bzgl. der Custom-Konfig: manchmal sieht man den Wald vor lauter Bäumen nicht kopfklatsch. Ich habe das vor zig Jahren mal gemacht und musste damals noch händisch in einer Konfig via SSH wurschteln.

            An sich gefällt mir das mit OSPF, hatte das auch mal in der Doku gelesen. Ich glaube, ich werde das mal ausprobieren. Für den Moment dann mit der zweiten IP.

            10 years pfSense! 2006 - 2016

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.