2 links - 1 vpn



  • Pessoal com o OpenVPN é possivel criar a conexao para 2 links ?

    Ou seja….tenho 2 links (principal e backup) e quando o principal cair quero que o backup receba as conexoes de vpn

    Da pra fazer isso ou terei que fazer um link com o openvpn e o outro com pptp

    Valeu mais uma vez



  • Tenta colocar assim

    Na aba, OpenVPN: Server - General information - Interface -> Any..

    e ver se conecta através dos dois links.



  • Também tenho essa dúvida em relação ao OpenVPN.
    Meu Load Balance e Fail Over funcionam normalmente para navegação na internet mas quando o link da interface setada no OpenVPN cai minha filial perde a conexão com a matriz.

    O modo correto de fazer esse Fail Over de VPN seria esse? Apenas setar a interface para Any?

    Agradeço quem puder me dar uma explicação sobre esse determinado assunto.



  • @Montana:

    Também tenho essa dúvida em relação ao OpenVPN.
    Meu Load Balance e Fail Over funcionam normalmente para navegação na internet mas quando o link da interface setada no OpenVPN cai minha filial perde a conexão com a matriz.
    O modo correto de fazer esse Fail Over de VPN seria esse? Apenas setar a interface para Any?
    Agradeço quem puder me dar uma explicação sobre esse determinado assunto.

    Veja que a dica do colega mantunespb resolve apenas parte do problema. Ao deixar "any" no campo "Interface" do OpenVPN Server, você está apenas admitindo conexões de clientes em qualquer uma das interfaces de rede. No entanto, numa relação Client x Server, a conexão é sempre gerada pelo cliente. Isso quer dizer que se a WAN1 da Matriz cair, a filial não vai saber que precisa (RE)discar/(RE)conectar na WAN2 automaticamente. Até onde eu sei, não há nenhuma implementação do gênero no OpenVPN Client (que está na sua filial).

    Isso só funcionaria se você implementasse algum tipo de redundância de entrada na Matriz. Num caso assim, ao invés da filial apontar para um endereço IP público, ela apontaria para um nome DNS. Por exemplo: vpn.minhaempresa.com.br. Esta entrada DNS estaria "sustentada"/respondendo por 2 ou mais IPs públicos (tente digitar "nslookup www.uol.com.br"… você vai ver que a entrada DNS é respondida por vários IPs públicos).

    Tirando o caso acima, somente com roteamento dinâmico (BGP, OSPF, etc...) ou usando alguns hardwares/sistemas específicos que implementam VPN FailOver (realizam a tarefa citada acima). No pfSense, até onde eu sei, isso não existe por default).

    Abraços!
    Jack



  • Jack, entendo essa complexidade de redundância na Matriz mas não foi isso que eu queria dizer.

    Estou dizendo somente da parte cliente (filial), tenhos 2 WANs na filial e queria que quando um link cair o outro assuma a parte da VPN. Atualmente tenho setado a WAN1 no campo Interface do OpenVPN Client, se a WAN1 cair a conexão VPN com a Matriz cai também. Eu queria que ao WAN1 cair a WAN2 assumisse a VPN do mesmo modo que o FailOver já configurado faz com a navegação de internet.

    Valeu pela ajuda!



  • @Montana:

    Eu queria que ao WAN1 cair a WAN2 assumisse a VPN do mesmo modo que o FailOver já configurado faz com a navegação de internet.

    Bem, neste caso, se você configurou na filial o LoadBalance (grupo de roteadores), marcou a opção "System: Advanced: Miscellaneous:  Allow default gateway switching", setou a conexão em "Firewall: Rules: LAN" pra usar o grupo de roteadores ao invés do default gateway, isso já deveria estar funcionando. Afinal o FailOver deve funcionar pra qualquer conexão (não apenas HTTP).

    Você já tentou os passos acima?

    Abraços!
    Jack



  • Um dns dinamico pode resolver a questão da troca de ip no open vpn server.



  • @marcelloc:

    Um dns dinamico pode resolver a questão da troca de ip no open vpn server.

    Exatamente, você pode usar o path do colega luiz gustavo

    http://forum.pfsense.org/index.php/topic,45841.0.html

    ao cair um link, ele atualize o dns dinamico com o ip reserva, desde que a filial acesse
    a matriz via dns e não via ip.



  • @mantunespb:

    Exatamente, você pode usar o path do colega luiz gustavo

    All right…

    Se o patch está funcional, aí sim...

    Afinal o DNS Dinâmico está sempre ligado à uma WAN em específico!

    Abraços!
    Jack



  • Pessoal farei alguns testes quando estiver fisicamente no cliente. Agradeço a todos pela ajuda prestada!



  • Se você não quiser aplicar o patch, você pode instalar o dns dinamico em um servidor interno.



  • fiz uma solução temporária aqui na empresa e esta dando certo…. usei o pfsense para uma conexao e  uma vm para o outro link....e vou testar essa semana, agradeço muito a ajuda....vou colocar um pfsense aqui em casa para fazer varios testes e de quebra aprender mais um pouco.....gosto dele para usar como firewall e ele a cada dia que passa me deixa mais satisfeito.Grato a todos pelas dicas


Log in to reply