OpenVPN s2s Client bei failover-WAN-Server



  • Servus,
    wo war denn gleich wieder die zweite IP im s2s-Client (ebenfalls pfS) einzutragen, wenn der Server dual-WAN hat?

    Was ist da heute eigentlich best practice? Zweite Failover-IP eintragen oder multiple Tunnel? Das zweite WAN ist deutlich schmalbandiger. Die Clients selbst haben nur ein WAN.

    Danke & Grüße



  • Hallo,

    in den Custom Options:

    remote <Hostname> <Port> <Protokoll>
    

    Best Practice hängt wohl von den individuellen Bedürfnissen ab.
    Ich habe eine 2. IP so wie oben eingerichtet. Das hat auch einen Nachteil: die bevorzugte, schnellere Verbindung ist nicht so stabil. Wenn die ausfällt (offenbar restarten da Router beim Kabel-Provider, dauert immer ca. 1 Minute), verbindet sich der Client mit der alternativen IP, und die hält dann. 😡
    Ist aber für meine aktuellen Zwecke okay, das was da drüber muss, hat meist Zeit, und wenn ich mal mehr Tempo benötige, restarte ich den Client.

    Wenn du von Haus aus 2 VPNs einrichtest, musst du eben eine Gateway Group dafür konfigurieren und diese in den Regeln verwenden. Ob diese dann immer das gewünschte macht, weiß ich aber auch nicht.

    Grüße


  • Rebel Alliance Moderator

    Da stimme ich zu. Best practice per se gibts da eher weniger, das kommt immer auf den konkreten Fall an. Gerade wenn eine Verbindung deutlich schmaler ist als die andere, will man ja eigentlich eher den Fallback dann wieder auf die alte Verbindung haben. Wenn es dann nur ein oder zwei Außenstellen sind, ist es vielleicht noch ganz gut machbar, bei Bedarf den Server kurz zu restarten, damit sich die Clients neu über die dicke Leitung einwählen.

    Andere Variante wäre natürlich stets zwei Tunnel aufzubauen, keine Netze zu pushen und das ganze ggf. mit einer GW Gruppe oder mit OSPF zu machen und die höhere Leitung zu priorisieren. Vorteil is dann dass OSPF schneller und präziser den Traffic wieder über die Dicke Leitung schubsen kann wenn das Gateway wieder hochkommt.

    Ist aber auch immer eine Sache der Handhabung.



  • Danke, Männer! Bzgl. der Custom-Konfig: manchmal sieht man den Wald vor lauter Bäumen nicht kopfklatsch. Ich habe das vor zig Jahren mal gemacht und musste damals noch händisch in einer Konfig via SSH wurschteln.

    An sich gefällt mir das mit OSPF, hatte das auch mal in der Doku gelesen. Ich glaube, ich werde das mal ausprobieren. Für den Moment dann mit der zweiten IP.


Log in to reply