Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Pfsense + CARP + OpenVPN

    Scheduled Pinned Locked Moved Deutsch
    2 Posts 2 Posters 2.1k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • D
      drviper75
      last edited by

      Hallo zusammen,

      folgendes Setup hab ich am laufen:

      2 x pfsense im Cluster via Carp
      Openvpn Server

      Folgendes Problem habe ich noch:

      Wenn ich mittels OpneVPN eingeloggt bin, kann ich auf alle IP im Netz zugreifen und pingen, außer auf den 2. Pfsense Server. Der ist weder per Ping noch per Web erreichbar.
      Fällt mein Master aus(ziehe LAN Stecker), wird das CARP aktiv und mein openvpn Client switcht auf den anderen Server. Danach ist er auch per Ping erreichbar.

      Hab ich eventuell eine Regel vergessen? 
      Es ist halt alles, ausser dem 2. Server erreichbar…...

      Gruss und Danke

      drviper75

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        Hallo :)

        natürlich ist der 2. Server nach dem Failover erreichbar - du sitzt dann ja drauf ;)
        Das Problem wird sein, dass beide CARP Nodes - um für den Failover auch OpenVPN ordentlich bedienen zu können - natürlich das gleiche Einwahlnetz bereitstellen und dementsprechend nicht an den anderen Knoten routen.

        Sprich: Via OpenVPN bist du mit deinem Netz (10.0.0.x) verbunden und dazu in einem VPN Netz (10.0.99.x) eingeloggt. Die Adresse aus 10.0.99.x bekommst du nach VPN Einwahl. Soweit alles gut, der VPN Server routet natürlich auch alles von 10.0.99.x zurück über sein Tunnel Interface zu dir. Gleiches ist aber auch auf Knoten 2 eingerichtet. Kommt also nun was von 10.0.99.x bei Knoten 2 an, routet der das nicht an Knoten 1 zurück (wo du verbunden bist), sondern behält es, da es in seiner Konfiguration natürlich genauso eingerichtet und auf SEIN Tunnel Interface geroutet ist (weil CARP und gesynct).

        Ich glaube wir hatten die Diskussion hier schon einmal und der einzige theoretische Weg war, dass man evtl. ein anderen VPN Netz (10.0.98.x) auf dem anderen Knoten konfiguriert und dann die beiden VPN Netze über Kreuz auf die jeweils gegenüberliegenden Knoten routet. Allerdings ist dann KEIN sauberer VPN Failover mehr drin, weil man nach der Übergabe von Knoten 1 auf Knoten 2 bei Ausfall nicht mehr die gleiche IP behalten kann und getrennt wird / neu verbunden wird. Somit würden auch alle Sessions abreißen etc.

        Ergo nicht so schön.

        Insofern die einfachste Lösung: Um Knoten 2 zu erreichen, einfach über ein anderes System in deinem Netz gehen und von dort aus die Verbindung herstellen. Sowas wird gern auch "Jumphost" genannt, weil man sich eine kleine Kiste im Zielnetz sucht, auf der man sich einloggen kann um von dort aus weiterzuverbinden, weil man dort sonst nicht hinkommt.

        Grüßend
        Jens

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • First post
          Last post
        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.