PFSense OpenVPN Site to site com failover automático para clientes



  • Boa noite pessoal, primeiramente gostaria de dizer obrigado pelos bons posts e conteúdo do fórum nesta seção.

    Utilizo o PFSense há alguns meses para conectar a matriz da empresa a duas filiais através de links wan e por meio de OpenVPN. A solução apresenta extrema estabilidade e foi o que me trouxe para o mundo do PFSense.

    Gostaria de ofertar, se possível de forma automática, uma segunda opção de conexão aos pfsense "clientes" (filiais) no servidor da matriz. Caso eu venha a ter problemas no link primário que as conecta, os clientes automaticamente conectariam a uma segunda conexão configurada.

    Isto é possível ? Alguém já executou algo similar ?

    Desde já meu muito obrigado !



  • Amigo,

    o seus links são dinâmico, ip fixo ou misto ??



  • Crisao23,

    Primeiramente bem vindo ao fórum!  :)

    A uns meses atras, discutimos sobre a melhor forma de fazer isso, mas acho que não encontramos uma solução definitiva.

    Entre patches e scripts, acho que a melhor opção seria dns dinamico com contas pagas na matriz para atualizar o ip do host de vpn assim que  o link cair.

    att,
    Marcello Coutinho



  • Marcelo,

    eu entendi o ele deseja, seria igual ao meu problema no passado, pq exemplo eu tenho um domínio:

    "exemplo.dyndns.og" que esta pelo link WAN 1 (fixo), se o mesmo cair o WAN2 (dinamic) assume
    porem o endereço continua com WAN 1, na época o Luiz Gustavo fez um patch eu apliquei e não funcionou

    a solução que tive, foi instalar o client dyndns em um computador linux ou windows,
    assim ele atualiza o endereço pelo
    link atual.

    Seria muito interessante essa solução via pfsense, solução como endian existe esse recurso em atualizar
    o dyndns via link ativo..



  • No ambiente, todos os links da matriz são corporativos, com ip fixo. Possuo 4 opções de provedor na matriz. Hoje tenho um pfsense configurado com "server" openvpn. Este "listener" funciona sob um ip público de um dos provedores (provedor 1).

    Os links das filiais são únicos, sem redundância.

    Hoje, os pfsense(s) instalados em cada uma das duas filiais estão com o cliente configurado para se conectar a este IP público do provedor 1.

    Eu gostaria de saber se é adequado configurar um segundo link externo (provedor 2) no pfsense da matriz, configurar um server openvpn neste e de alguma forma indicar aos clientes da filial que nele se conectem em caso de falha no provedor 2.



  • Crisao23,

    a solução seria colocar um "domínio" (ex: dyndns) nos clientes e que ele seja atualizado quando link 1 cair, o cliente
    vão se conectar via link 2.

    Eu nao conheço outra solução..



  • Vi outro dia por aqui que para não precisar configura o openvpn duas vezes sem cada provedor, coloque ele para ouvir na lan e faça nat da wan e wan2 para o ip da lan na porta do openvpn



  • Muito obrigado a todos que responderam.

    Vou tentar a última sugestão, creio que irá funcionar.

    Conseguindo posto um diagrama para quem quiser utilizar a mesma solução. Não é o ambiente mais simples porém é assustadora a eficiência do pfsense.


Locked