Failover OpenVPN mit Quagga

Rossi

Kurze Frage: Ist ein automatisches Failover bei der VPN LAN2LAN Anbindung über 2 verfügbare WAN Interfaces mit pfsense möglich (Protokoll IPSEC oder OpenVPN)? Wir haben mittlerweile dutzende pfsense Installationen im Einsatz und das wäre sozusagen noch das letzte Killerfeature, um endgültig nix anderes mehr einsetzen zu wollen. :P

Edit: OK, hat sich erledigt… ich hätte nur ein bisschen weiter lesen müssen.

flix87

Hallo Rossi,

könntest du vielleicht deine Lösung/Erkenntnis hier posten?
Bin da auch auf der Suche nach etwas was man in der Praxis auch sauber einsetzten kann. Genau aus den Gründen die du auch gesagt hast ;)

Rossi

Mit dem Quagga OSPF Package müsste das so funktionieren wie ich mir das vorstelle. Wir habe heute eine kleine Testumgebung aufgebaut und morgen kann ich mir das ggf. etwas genauer anschauen. Lediglich die Doku scheint etwas dünn zu sein.

Edit: Mhhh, interessant wäre zu wissen, ob man pfsense als OpenVPN Client ebenso wie die Roadwarrior so konfiguriert bekommt, dass es zu zwei oder mehreren WANs verbinden kann. Das wäre dann wohl die einfachste Lösung. Da hat nicht zufällig wer Erfahrung mit?

flix87

Wäre super wenn du deine Ergebnisse dann mal posten könntest.

Habe schon mal was aufgebaut mit OpenVPN zwei Tunnel und dann die Tunnel auf Intrefaces gepackt und diese dann in eine Failover Gatewaygruppe gepackt.
Hat zwar geklappt aber kam mir nicht so sauber vor bzw. auch sehr aufwendig und daher auch Fehleranfällig. Außerdem musste ich bei jeden neuen Tunnel ein neues Interface angeleg und die PfSense durchstarten.

Wenns da was schöneres gäbe fände ich super.

Rossi

Es ist praktisch der letzte Grund, weshalb wir von Cisco und Co weggehen wollen… in sofern werde ich da ein wenig Aufwand reinstecken und wenn es funktioniert, dann gibt es hier definitiv eine Anleitung.

Rossi

Heute leider nicht ganz durchgekommen. Wir haben aber jetzt unsere Testumgebung fertig. Folgendes Szenario:

LAN1 - 192.168.211.0/24
|
PFSENSE mit
WAN1 - 192.168.1.1/24 und darüber OpenVPN1 - 192.168.3.0/24–-----.
WAN2 - 192.168.2.1/24 und darüber OpenVPN2 - 192.168.4.0/24---.    |
                                                                                                  |  |
PFSENSE2 mit                                                                              |  |
WAN1 - 192.168.1.2/24 und darüber OpenVPN1 - 192.168.5.0/24---+--'
WAN2 - 192.168.2.2/24 und darüber OpenVPN2 - 192.168.6.0/24---´
|
LAN2 - 192.168.200.0/24

Für die beiden OpenVPN Site2Site Tunnel haben wir NICHT das Remote Netzmerk angegeben. Wenn man das tut, dann kommt einer der beiden Tunnel nicht hoch (Route bereits gesetzt)
Das hin und her Pingen zwischen den OpenVPN Netzwerken funktioniert soweit wie gewünscht.

Nun sind wir an dem Punkt mit Quagga. Leider sieht da die Doku sehr dünn aus. Gibt es hier zufällig jemanden, der sich damit auskennt?
Mein Idee ist, dass Routing so einzurichten, dass beide Seiten wissen, dass sie sowohl über OpenVPN1 wie auch über OpenVPN2 jeweils an das entfernte LAN kommen.

Sorry für die ASCII Zeichnung... nicht meine Stärke. :D

dkst

Hier ist das Englische Tutorial dazu: http://forum.pfsense.org/index.php/topic,24436.msg126273.html

Versuche das ganze auch schon eine Weile. Quagga OSPF Package hatte ich auch schon auf beiden Tunneln laufen leider wurde immer der Default Gateway genutzt.

Wenn es einer von euch hinkriegt, schreibt doch bitte eine Anleitung.
LG

dkst

Das sind meine Verusuche bisher:
http://forum.pfsense.org/index.php/topic,69642.0.html