PF 2.0.1 - OpenVPN sur multiwan ? (ANY)



  • Hello !

    J'utilise un pfSense 2.0.1 depuis mi 2011. Elle n'est toujours pas en prod au boulot, mais je m'y remets.

    Un VPN site2site IPsec est en place, et OpenVPN pour les nomades.
    De chez moi, je me connecte tout le temps avec ce dernier, sans soucis.

    Je viens de recevoir une nouvelle sDSL au boulot, connectée en tant que 3e WAN (Wan3). Je passe à travers sans soucis.

    J'ai modifié le serveur OpenVPN pour qu'il écoute sur cette nouvelle connexion (Wan3 à la place de Wan2 comme avant).

    J'ai ensuite tenté de lancer un 2e serveur OpenVPN sur Wan2 (en même temps que celui qui écoute sur Wan3), mais impossible d'utiliser le même sous réseau pour le VPN.

    Puis j'ai vu que OpenVPN peut écouter sur n'importe quel serveur (ANY), ce que j'ai configuré.

    Maintenant, mon client n'arrive plus à se connecter à WAN3. Il peut sur Wan2. Si je retente sur Wan3, j'ai des msgs d'erreur :
    Fri Jul 06 16:34:17 2012 TCP/UDP: Incoming packet rejected from 92.103.xx.xx:21194[2], expected peer address: 62.193.xx.xx:21194 (allow this incoming source address/port by removing –remote or adding --float)

    Si j'attends un certain moment, je n'ai plus ces messages en tentant de me connecter, mais je n'ai plus rien du tout, comme si le serveur n'écoutait pas.

    Si je remplace ANY par l'interface de WAN3 dans la config du serveur, ça repart…

    Les ports sont ouverts sur les 2 interfaces (WAN2 et WAN3).

    Quelqu'un aurait une idée ?

    D'avance, un grand merci !



  • Hello,

    Alors en faite tu voudrais faire du Loadbalancing de OpenVPN ?
    Ou alors tu voudrais privilégier une connexion pour le VPN nomade avec OpenVPN ?

    C'est pas clair…



  • Nop.

    Je voudrai qu'OpenVPN écoute et soit dispo sur plusieurs interfaces pour plusieurs raisons :

    • D’abord :  est utilisé sur une connexion en priorité (sDSL 8Mbits) pour nos nomades
    • ensuite, au cas où je ne puisse me connecter ou utiliser l'interface prioritaire (surcharge / non dispo / ou si je ne veux pas impacter la connexion principale), je dois pouvoir joindre le routeur par ses 2 autres connexions
    • si la sDSL 8Mb est HS, je dois pouvoir renvoyer les clients nomades vers une autre interface le plus rapidement possible, en évitant de passer sur le routeur pour le reconfigurer (si je suis en congés/en déplacement sans connexion personne ne pourrait faire la modif sur le routeur).


  • Je voudrai qu'OpenVPN écoute et soit dispo sur plusieurs interfaces pour plusieurs raisons :

    je comprend bien le besoin. Je n'ai pas testé sur la dernière version mais, de mémoire avec la 1.2.3 il faut créer un nouveau serveur OPenvpn et tenant compte de ce que dit la petite ligne sous le numéro du port d'écoute :

    The port this OpenVPN server will listen on. 1194 is the default OpenVPN port. Each server requires a unique port. 
    

    je dois pouvoir renvoyer les clients nomades vers une autre interface le plus rapidement possible

    Dans le fichier de configuration du client vous pouvez automatiser cela facilement. Il suffit de mettre plusieurs lignes de paramètres remote. L'ordre des lignes détermine l'ordre dans le lequel les connexions sont utilisées.



  • Ouaip, j'avais configuré un 2e serveur OpenVPN, avec un autre port.
    Puis j'ai vu que le serveur OpenVPN peut écouter sur ANY (donc, toutes les interfaces). Mais comme expliqué un peu plus haut, ça foire…

    Merci pour l'info côté client, je n'ai pas encore eu le temps de me pencher dessus !


Locked