pfSense als OpenVPN-Client automatisch Tunnel wieder hochfahren



  • Hi Leute,
    ich habe zwischen zwei pfSensen einen Point-to-Point OpenVPN-Tunnel laufen.
    Auf einem APU-Board, pfSense 2.4.4 läuft der OpenVPN-Server, an einem DSL-Anschluss.
    Die Gegenstelle befindet sich auf einem Gartengrundstück und ist nicht täglich besetzt.
    Sie ist mit einem ALIX-Board, pfSense 2.3.5 ausgestattet, auf der der OpenVPN-Client läuft. Die Internetverbindung macht ein UMTS-Stick.
    Wenn beim Client der Strom ausfällt, ist das kein Thema. Die pfSense fährt anschließend wieder hoch und initiiert den Tunnel wieder.
    Anders beim Ausfall des OpenVPN-Servers.
    Die laufende Client-pfSense fährt dann natürlich nicht automatisch wieder hoch, wenn der APU OpenVPN-Server wieder funktioniert und somit ist kein Zugriff auf die remote Gegenstelle mehr möglich.
    Nun könnte man natürlich per Chron die Client-pfSense täglich 1 x nachts neu starten, um zu vermeiden, das bei Ausfall des Tunnels jemand vor Ort die pfSense resetten muss.
    Gibt es da eine elegantere Lösung?
    Gruß orcape



  • Hallo,

    ich betreibe einen Site-to-Site OpenVPN-Tunnel zwischen zwei aktuellen pfSense 2.4.4, dieser wird immer automatisch wieder aufgebaut, egal welche Seite neu startet.

    Sieht im System-Log des Clients so aus, wenn der Server neu startet:

    Oct 14 12:23:45 	rc.gateway_alarm 	60468 	>>> Gateway alarm: VPN_RZ_BN_VPNV4 (Addr:10.0.51.1 Alarm:1 RTT:8.401ms RTTsd:1.497ms Loss:21%) 
    .
    .
    Oct 14 12:23:45 	check_reload_status 		Restarting OpenVPN tunnels/interfaces 
    

    Der Initiator für den Neustart des Tunnels ist also der Gateway Alarm von dpinger.
    Hast du das Monitoring des OpenVPN Gateways aktiviert?

    Ansonsten, was ich mir aus früheren Threads hier notiert habe, sollte das Service_Watchdog Paket in einem solchen Fall Abhilfe leisten und den Tunnel automatisch neu starten, wenn er down ist. Ich hatte es selbst noch nie verwendet.

    Grüße


  • LAYER 8 Moderator

    @viragomann said in pfSense als OpenVPN-Client automatisch Tunnel wieder hochfahren:

    Ich hatte es selbst noch nie verwendet.

    Dito. Normalerweise sollte das egal sein. Könnte aber sein, dass du auch OpenVPN Clientseitig ein Problem hast, aber per default hat die pfSense Konfiguration einen Keepalive Parameter mit drin. Wenn der überschritten ist, macht der Client einen Retry (retry-resolv-infinite IMHO). Vielleicht mal checken, ob der Client diese Parameter gesetzt hat oder nicht, evtl. liegt da schon der Hund begraben. pfSense 2.3.x hatte noch OVPN 2.3 und nicht OVPN 2.4 mit an Bord. Evtl. also auch andere defaults.



  • @JeGr Hi,
    und Danke.
    "retry-resolv-infinite"...gesetzt und Problem gelöst.
    Gruß orcape


Log in to reply