OpenVPN client in multiwan con load balancing



  • Ciao a tutti,
    spero di non chiedere una cosa già discussa, ma non ho trovato post a riguardo.

    Ecco il caso:
    PFSense 2.01 con 3 interfacce
    LAN come subnet privata
    WAN1 connessa con router HDSL, dotata di IP pubblico
    WAN2 connessa ad un Wi-Fi router (Mikrotik), con Ip privato nattato
    Failover / Load Balancing attivo in uscita su entrambe le wan.
    DNS forwarder & DHCP server acttivo su pfSense
    Sulla Lan ho un Mailserver e diversi altri servizi su porte standard, che inoltro come port forward (mapping) via pfSense ai vari server in lan.

    Richiesta:
    Per ottenere una piena ridondanza sui servizi ho pensato di acquistare un IP pubblico presso un provider VPN (tipo StrongVPN), per sopperire alla mancanza sulla Wan2.
    Questo in modo da avere un secondo Ip pubblico dove appoggiare i vari servizi, primo fra tutti il record MX secondario del posta, in modo che esso sia raggiungibile da entrambi gli ip pubblici.
    Ora io dovrei vedere il nuovo ip pubblico assegnato dalla VPN come una terza WAN, dove configurare poi tutti i port mapping per i vari servizi.

    In questo modo, se l'HDSL va giù, tutti i servizi rimarranno raggiungibili via VPN attraverso il link Wan2, benché esso sia un link nattato sprovvisto di Ip pubblico.
    Se poi andasse off il WAN2, resterebbe attiva la WAN1 con il suo Ip, e in aggiunta la VPN potrebbe riattivarsi usando il link WAN1, così da mantenere vivi entrambi gli ip pubblici.
    infine, se fosse il servizio VPN ad andare offline, rimarrebbe sempre l'ip pubblico della Wan1 a garantire la raggiungibilità dei servizi.

    Secondo voi è possibile farlo ?  Come dovrei gestire la VPN per il port mapping? Dovrei vederla come una WAN3 ?
    Altri suggerimenti?

    Grazie in anticipo.

    P.S. Ho postato anche in inglese nella sezione OpenVPN, ma se trovassi un italiano che mi risponde, sarei più contento.



  • Su StrongVPN hai un IP pubblico dedicato?
    IMHO dipende tutto da quale IP ti assegnano loro al tuo client pfSense e se loro rigirano tutto il traffico verso quell'IP



  • Beh, l'Ip dedicato è quello che mi serve, è chiaro che con un ip condiviso non ci faccio nulla.

    Quando prendi un ip dedicato, quasi tutti i provider tipo StronVPN, TUVPN, ecc… ti garantiscono tutte le porte aperte su tale ip.

    Non capisco però perché ti aspetti che loro debbano 'girare' del traffico su quell'ip. 
    Visto che è un IP pubblico è raggiungibile con delle route: devono solo evitare filtri, non dovrebbero 'girare' nulla. 
    Sono io che devo girare il traffico da quell'IP (ipotizziamo la WAN3 di PFSense) a degli ip specifici della Lan. E' questa ultima fase su cui ho dubbi.



  • Non avevo capito che davano IP pubblico direttamente al VPN client.

    Vedendo questa guida comunque
    http://swimminginthought.com/pfsense-routing-traffic-strongvpn-openvpn/
    puoi crearti un interfaccia solo per la VPN, quindi basta che fai il NAT da quell'interfaccia verso la LAN e dovrebbe funzionare..


Locked