PFSense OpenVPN Site to site com failover automático para clientes

Crisao23

Boa noite pessoal, primeiramente gostaria de dizer obrigado pelos bons posts e conteúdo do fórum nesta seção.

Utilizo o PFSense há alguns meses para conectar a matriz da empresa a duas filiais através de links wan e por meio de OpenVPN. A solução apresenta extrema estabilidade e foi o que me trouxe para o mundo do PFSense.

Gostaria de ofertar, se possível de forma automática, uma segunda opção de conexão aos pfsense "clientes" (filiais) no servidor da matriz. Caso eu venha a ter problemas no link primário que as conecta, os clientes automaticamente conectariam a uma segunda conexão configurada.

Isto é possível ? Alguém já executou algo similar ?

Desde já meu muito obrigado !

mantunespb

Amigo,

o seus links são dinâmico, ip fixo ou misto ??

marcelloc

Crisao23,

Primeiramente bem vindo ao fórum!  :)

A uns meses atras, discutimos sobre a melhor forma de fazer isso, mas acho que não encontramos uma solução definitiva.

Entre patches e scripts, acho que a melhor opção seria dns dinamico com contas pagas na matriz para atualizar o ip do host de vpn assim que  o link cair.

att,
Marcello Coutinho

mantunespb

Marcelo,

eu entendi o ele deseja, seria igual ao meu problema no passado, pq exemplo eu tenho um domínio:

"exemplo.dyndns.og" que esta pelo link WAN 1 (fixo), se o mesmo cair o WAN2 (dinamic) assume
porem o endereço continua com WAN 1, na época o Luiz Gustavo fez um patch eu apliquei e não funcionou

a solução que tive, foi instalar o client dyndns em um computador linux ou windows,
assim ele atualiza o endereço pelo
link atual.

Seria muito interessante essa solução via pfsense, solução como endian existe esse recurso em atualizar
o dyndns via link ativo..

Crisao23

No ambiente, todos os links da matriz são corporativos, com ip fixo. Possuo 4 opções de provedor na matriz. Hoje tenho um pfsense configurado com "server" openvpn. Este "listener" funciona sob um ip público de um dos provedores (provedor 1).

Os links das filiais são únicos, sem redundância.

Hoje, os pfsense(s) instalados em cada uma das duas filiais estão com o cliente configurado para se conectar a este IP público do provedor 1.

Eu gostaria de saber se é adequado configurar um segundo link externo (provedor 2) no pfsense da matriz, configurar um server openvpn neste e de alguma forma indicar aos clientes da filial que nele se conectem em caso de falha no provedor 2.

mantunespb

Crisao23,

a solução seria colocar um "domínio" (ex: dyndns) nos clientes e que ele seja atualizado quando link 1 cair, o cliente
vão se conectar via link 2.

Eu nao conheço outra solução..

marcelloc

Vi outro dia por aqui que para não precisar configura o openvpn duas vezes sem cada provedor, coloque ele para ouvir na lan e faça nat da wan e wan2 para o ip da lan na porta do openvpn

Crisao23

Muito obrigado a todos que responderam.

Vou tentar a última sugestão, creio que irá funcionar.

Conseguindo posto um diagrama para quem quiser utilizar a mesma solução. Não é o ambiente mais simples porém é assustadora a eficiência do pfsense.