Fallback mit 2 VPNs Site by Site
-
Moin
ich würde gerne eien Site by Site VPN einrichten , welches auf 2 verschiedenen Weg nach ROM kommen kann. Beide VPNs landen auf zwei verschiedenen IP Adressen.
Fällt die eine Richtung aus, sollte der Traffic auf das 2te VPN umschwenken.
Ist das so abbildbar ?
grüße
gabylein -
@gabylein Wenn es OpenVPN ist - ja problemlos und ggf. auf mehreren Wegen, hängt aber stark davon ab, was die Gegenstellen sind und was man zur Verfügung hat. Bei Wireguard - größtenteils auch - ebenfalls wieder abhängig der Gegenstellen. IPsec? Wird schwierig, müsste dann schon routed IPsec via VTI sein und dann wird das meist mit BGP oder OSPF gemacht was viel zu viel Overhead für meinen Geschmack ist.
Da bräuchten wir also mehr Details.
Cheers
-
Moin
OpenVPN auf der anderen Seite und auch PFSense
Beide VPNs landen auf der selben PFSsnes am selben Ort
Nur 2 verschieden Medien - Glas und Kabel -
@gabylein Dann ist es absolut machbar. Wenns vollautomatisch sein soll könnte man FRR/OSPF drüberlegen und beide Tunnel aktiv aufbauen. Wenn eine minimale Downtime OK ist, würde man es eher so machen, dass man die Seite mit dem SingleWAN zum Client macht und die Seite mit dem MultiWAN zum Server, dort den Server auf localhost binden, auf beiden WANs ein Port Forwarding für das VPN und bei der Client Seite in der Konfig dann einfach einen 2. Remote Eintrag mit rein nimmt. OpenVPN macht dann nach Timeout für den ersten Remote Eintrag (bspw. Glas) automatisch nen reconnect und versucht Eintrag 2 und landet dann auf dem Kabel.
Andere Variante etwas komplexer wäre beide VPNs immer aufzubauen und dann auf beiden Seiten ein Failover Gateway bei Gateway Gruppen anzulegen über beide VPN GWs. Dann policy based den Traffic auf beiden Seiten für die andere Seite über das FO_GW rüberschubsen.
Oder Variante 3 mit OSPF: auf beiden Seiten FRR mit OSPF installieren, beide GWs in OSPF reinpacken, eines höher priorisieren als das andere und OSPF den Job mit dem Routing der beiden Seiten übernehmen lassen.
Cheers
-
@jegr
moin Dankegerne keine Downtime ...
-
@gabylein said in Fallback mit 2 VPNs Site by Site:
@jegr
moin Dankegerne keine Downtime ...
#1: PBR
@jegr said in Fallback mit 2 VPNs Site by Site:
Andere Variante etwas komplexer wäre beide VPNs immer aufzubauen und dann auf beiden Seiten ein Failover Gateway bei Gateway Gruppen anzulegen über beide VPN GWs. Dann policy based den Traffic auf beiden Seiten für die andere Seite über das FO_GW rüberschubsen.
#2: OSPF
@jegr said in Fallback mit 2 VPNs Site by Site:
Oder Variante 3 mit OSPF: auf beiden Seiten FRR mit OSPF installieren, beide GWs in OSPF reinpacken, eines höher priorisieren als das andere und OSPF den Job mit dem Routing der beiden Seiten übernehmen lassen.
Pick your poison and go with it. :)
-
Gut ich nehm OSPF
-
Das müsste doch auch mit IPsec im Tunnel Mode gehen, wenn man Mobike einsetzt.
Dann müssen, so wie ich das verstanden habe auf die WAN GW Group und man müsste diese mit der richtigen Stickyness einsetzen.
Aber ja viele Wege führen nach Rom, aber muss man da unbedingt hin?