Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Fallback mit 2 VPNs Site by Site

    Scheduled Pinned Locked Moved Deutsch
    8 Posts 4 Posters 701 Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      gabylein
      last edited by

      Moin

      ich würde gerne eien Site by Site VPN einrichten , welches auf 2 verschiedenen Weg nach ROM kommen kann. Beide VPNs landen auf zwei verschiedenen IP Adressen.

      Fällt die eine Richtung aus, sollte der Traffic auf das 2te VPN umschwenken.

      Ist das so abbildbar ?

      grüße
      gabylein

      JeGrJ 1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator @gabylein
        last edited by

        @gabylein Wenn es OpenVPN ist - ja problemlos und ggf. auf mehreren Wegen, hängt aber stark davon ab, was die Gegenstellen sind und was man zur Verfügung hat. Bei Wireguard - größtenteils auch - ebenfalls wieder abhängig der Gegenstellen. IPsec? Wird schwierig, müsste dann schon routed IPsec via VTI sein und dann wird das meist mit BGP oder OSPF gemacht was viel zu viel Overhead für meinen Geschmack ist.

        Da bräuchten wir also mehr Details.

        Cheers

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        G 1 Reply Last reply Reply Quote 0
        • G
          gabylein @JeGr
          last edited by gabylein

          @jegr

          Moin

          OpenVPN auf der anderen Seite und auch PFSense
          Beide VPNs landen auf der selben PFSsnes am selben Ort
          Nur 2 verschieden Medien - Glas und Kabel

          JeGrJ 1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator @gabylein
            last edited by

            @gabylein Dann ist es absolut machbar. Wenns vollautomatisch sein soll könnte man FRR/OSPF drüberlegen und beide Tunnel aktiv aufbauen. Wenn eine minimale Downtime OK ist, würde man es eher so machen, dass man die Seite mit dem SingleWAN zum Client macht und die Seite mit dem MultiWAN zum Server, dort den Server auf localhost binden, auf beiden WANs ein Port Forwarding für das VPN und bei der Client Seite in der Konfig dann einfach einen 2. Remote Eintrag mit rein nimmt. OpenVPN macht dann nach Timeout für den ersten Remote Eintrag (bspw. Glas) automatisch nen reconnect und versucht Eintrag 2 und landet dann auf dem Kabel.

            Andere Variante etwas komplexer wäre beide VPNs immer aufzubauen und dann auf beiden Seiten ein Failover Gateway bei Gateway Gruppen anzulegen über beide VPN GWs. Dann policy based den Traffic auf beiden Seiten für die andere Seite über das FO_GW rüberschubsen.

            Oder Variante 3 mit OSPF: auf beiden Seiten FRR mit OSPF installieren, beide GWs in OSPF reinpacken, eines höher priorisieren als das andere und OSPF den Job mit dem Routing der beiden Seiten übernehmen lassen.

            Cheers

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            G 1 Reply Last reply Reply Quote 0
            • G
              gabylein @JeGr
              last edited by

              @jegr
              moin Danke

              gerne keine Downtime ...

              JeGrJ 1 Reply Last reply Reply Quote 0
              • JeGrJ
                JeGr LAYER 8 Moderator @gabylein
                last edited by

                @gabylein said in Fallback mit 2 VPNs Site by Site:

                @jegr
                moin Danke

                gerne keine Downtime ...

                #1: PBR

                @jegr said in Fallback mit 2 VPNs Site by Site:

                Andere Variante etwas komplexer wäre beide VPNs immer aufzubauen und dann auf beiden Seiten ein Failover Gateway bei Gateway Gruppen anzulegen über beide VPN GWs. Dann policy based den Traffic auf beiden Seiten für die andere Seite über das FO_GW rüberschubsen.

                #2: OSPF

                @jegr said in Fallback mit 2 VPNs Site by Site:

                Oder Variante 3 mit OSPF: auf beiden Seiten FRR mit OSPF installieren, beide GWs in OSPF reinpacken, eines höher priorisieren als das andere und OSPF den Job mit dem Routing der beiden Seiten übernehmen lassen.

                Pick your poison and go with it. :)

                Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

                If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

                noplanN 1 Reply Last reply Reply Quote 1
                • noplanN
                  noplan @JeGr
                  last edited by

                  @jegr

                  Gut ich nehm OSPF

                  1 Reply Last reply Reply Quote 0
                  • N
                    NOCling
                    last edited by

                    Das müsste doch auch mit IPsec im Tunnel Mode gehen, wenn man Mobike einsetzt.

                    Dann müssen, so wie ich das verstanden habe auf die WAN GW Group und man müsste diese mit der richtigen Stickyness einsetzen.

                    Aber ja viele Wege führen nach Rom, aber muss man da unbedingt hin?

                    Netgate 6100 & Netgate 2100

                    1 Reply Last reply Reply Quote 0
                    • First post
                      Last post
                    Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.