Failover de VPN?



  • Olá..

    Como posso fazer a VPN IPSec funcionar em de falha de um dos links?

    Possuo 2 IP´s validos na matriz e outros 2 IP´s validos na filial….

    Encontrei alguns post fazendo referência a utilização do DynDNS....mas não posso por razões especificas no ambiente.....preciso que a VPN seja montada diretamente nos IP´s.

    Li algo sobre grupo de gateways para as VPN, mas o post em inglês era muito confuso e não encontrei esta função!

    Imaginei criar 2 tuneis deixando um em standby, caso o principal falhe o trafego é redirecionado para a VPN secundária...mas não encontrei formas de tratar isto por regras...

    Agradeço desde já qualquer ajuda



  • Acredito que só programando um script para subir um quando o outro falhar.

    Nos tutoriais de vpn tem um script meu que sobe o ipsec em caso de falha do link privado. este pode ser a base para sua configuração.

    Usando ipsec como rota de backup



  • O Openvpn possui esta opção.
    Basta você acrescentar no custom na configuração do tunel openvpn outro remote.
    Pois a openvpn sempre tenta conectar pelo primeiro remote caso não tenha sucesso ele direciona para o segundo.
    Caso tiver conectado e cair a conexão ele tenta tambem conectar no segundo remote.
    Mas o ipsec não sei se tem como pois ainda não trabalhei com ipsec.



  • Valew pessoal…..vamos para OPENVPN



  • Aproveitando o tópico.

    Quando configuramos a Openvpn, selecionamos  apenas uma interface wan (wan, opt1, localhost or any) para se conectar ao remote.

    Supondo que a filial tenha dois links para redundância e quando o link principal cair, como faço para trocar de forma automática a interface wan.

    Obs.: Na configuração da Interface, não posso deixar any, pois o link secundário (2 Mbps) tem a banda menor que o principal (5 Mbps).



  • Alguém?



  • @neo_X:

    Quando configuramos a Openvpn, selecionamos  apenas uma interface wan (wan, opt1, localhost or any) para se conectar ao remote.

    Supondo que a filial tenha dois links para redundância e quando o link principal cair, como faço para trocar de forma automática a interface wan.

    Obs.: Na configuração da Interface, não posso deixar any, pois o link secundário (2 Mbps) tem a banda menor que o principal (5 Mbps).

    Você está usando o OpenVPN como Ponto a Ponto ou Cliente-Servidor?

    Se o link é rede a rede, o PFSense "Cliente" deve ter um script para encerrar a conexão e iniciar denovo, com isso ele pega o Gateway ativo no momento.

    Se é cliente- Servidor, é o PFSense da filial que fará o Fail-Over e mudará o Gateway padrão para os usuários.



  • LFCavalcanti,

    Ponto a Ponto.    Configurando o BGP para os links Filial e Matriz é outra uma solução?



  • Uma alta disponibilidade na filial so fazer um failover no pfsense do da filial que a openvpn ira usar o gatway default.
    Confome o  LFCavalcanti explicou.



  • gilmarcabral

    Muito obrigado. Criando o Failover a opção GW Group Failover   fica disponível na Interface da OpenVPN.


Log in to reply