[AYUDA] OPENVPN - 2 WAN BALANCEO Y FAILOVER
-
Buenas noches,
Este es mi primer post, pero lleva bastante tiempo leyendo este gran foro y me ha servido de ayuda para realizar las instalaciones que tenemos actualmente.
Asunto : Servicio OpenVPN bajo 2 WAN's que necesidad de Balanceo y FailOver
Instalación Actual : 2 Servidores OpenVPN con 7 Clientes todos bajo PFSENSE 2.2.4
Situación : En la maquina principal, tengo 2 wans balanceadas y creado 2 servidores OpenVPN con diferentes puertos ( 1194 y 1195 ). En los clientes se encuentran conectados según el dashboard. Estan creadas las politicas NAT y Reglas de Cortafuego para cada WAN y incluso LAN.
Problema : No consigo balancear las peticiones y más importante aún crear un FailOver. Busco poder tener 2 o 4 Servidores OpenVPN que puedan actuar en modo FailOver con su correspondiente prioridad de Tiers. Si desconecto cualquiera de las WAN, se quedan sin servicio los equipos detras del cliente OpenVPN.
ScreenShots :
Servidor VPN
Cliente VPN ( Una Maquina )
Aqui podemos ver como recibe por un Servidor VPN y envia por otro Servidor VPN..curioso. Esto mismo sucede en las otras 6 maquinas clientes, con lo cual no actua como FailOVER.
Ojala me puedan ayudar a dejar afinado.
Un saludo a todo y a este gran foro,
Daniel
-
Hola, falto la parte en donde configuras el balanceo / ruteo.
la configuracion sirve.
Pero para esto deberas de crear dos grupos en la parte de ruteo, una para la fibra 0 con tier 1, y fibra 2 con tier2, y una adicional pero con la configuraciones de los tiers inversos.
Deberas de crear tambien dos servicios de Dyndns. uno para cada grupo de interfaces , estos Dyndns los deberas de configurar en tus clientes para que apunten a los dyndns y no a las Ips de cada enlace.
Esta algo enredado pero esta sencillo a la vez, creas los grupos de failover con los tiers, creas los dyndns en base los grupos de interfaces y configuras a los clientes para que apunten a los dyndns. Los clientes deberan de tardar no mas de un minuto en reconectarse.
acuerdate de abrir los puertos en cada enlace.
saludos
-
Buenos días, muchas gracias por la respuesta.
Referente a tus comentarios, decir que el balanceo / failover de cada wan lo tengo ya realizado también. Adjunto foto.
Quizás quieres decir que debo realizar otro en los routeos ?
Sobre DYNDNS es necesario teniendo las IPS estáticas ? Tengo contratado ese servicio para no tener cambio de IPs, por lo tanto no se si aun así es obligatorio usar el servicio DYNDNS.
Gracias y un saludo
-
Los servidores de VPN debera de estar corriendo sobre los grupos de interfaces que creaste, para que hagan failover y si no quieres usar dyndns ….
A tus usuarios puedes hacerlos que se conecten a los dos servidores de manera alternativa agregando una linea mas a la configuracion del archivo del cliente especificando un segundo servidor.
https://docs.openvpn.net/how-to-tutorialsguides/administration/set-up-basic-server-load-balancingredundancy/
A ver si te sirve.
-
Buenos días Acriollo,
Referente a los Servidores VPN tirando de los grupos failovers entiendo que te refieres - Primera foto adjunta
Lo que marco en Amarillo.
En la segunda foto, adjunto la configuración del grupo failover a ver si es correcto, yo entiendo de que si. - Segunda foto adjunta
Referente a los Clientes, yo utilizo la configuración del VPN, pero desde el panel de control del PFsense, nose como hacerlo de manera alterna.
Sabrias como ? Creo que puede ser en la opción " Advanced Configuratión "
Adjunto tercera foto, con la configuración actual.
Cuarta foto, con el advanced configuration.
Si usamos este metodo, solo debo tener 1 cliente configurado en vez de los dos ?
Gracias y un Saludo !!
-
Correcto, creo que las respuestas ya las tienes.
En la configuracion de los servidores, debes de correr la instalacia del servidor de acceso sobre los alguno de los grupos que esan en amarillo
a tus clientes les puedes agregar en opciones avanzadas el otro servidor al que pueden apuntar. la opcion remote. o agregarlo al archivo manualmente.
saludos.
-
Una pregunta, tengo configurado como has podido ver para cada servidor un tunnel meteoro diferente.
Deben de ser los mismos?
Mañana realizare pruebas.
Gracias por tu ayuda,
Un saludo
-
A que te refieres como meteoro ?
Los accesos son para los usuarios de las PCs verdad ? No para los peer to peer.
-
Me refería al Túnel Network
Para uno tengo : 10.0.8.0/24. y para la otra tengo 10.0.10.0/24
Estas son las conexiones para los servidores con las otras maquinas PFSENSE en PEER TO PEER.
Para los usuarios con maquina utilizo remote access por SSL.. Pero eso son para los portátiles.
-
Hola ,
Si son para los peer to peer y las configuraciones en las LANS remotas y locales, solo es necesario configurar que los servicios corran por el grupo de interfaces.
Pero del lado del cliente si es necesario que si apunte a un dyndns que se resuelva en base a un grupo de interfaces ( Failover )
Si el caso es para las PCs que se conectan via SSL, es necesario que el server corra en el grupo de interfaces ( Failover ) y los clientes tengan configurado las dos entradas para -remote o que que apunten a dun Dyndns que este configurado a un grupo de interfaces ( Failover ). Creo que funciona mejor el doble remote. De cualquiera de las dos formas los clientes van a perder la conexion e intentaran conectarse nuevamente despues de unos segs.
Saludos.
-
Buenas noches,
Sigo sin conseguir el balanceo de VPN's.
He realizado el sistema de DynDNS con (NO-IP) y sigue sin funcionar.
Expongo como lo he configurado :
He dejado unicamente 1 Servidor VPN por el puerto 1194.
Uno de los clientes, lo he configurado apuntando al DynDNS. El Pfsense me obtiene correctamente la IP ( no me la refresca correctamente, pero este ya es un mal menor … )
Si tiro una WAN, y actualizo a mano el host en el NO-IP dydns, y fuerzo la actualización del Dinamic DNS en el pfsense para que obtenga la nueva IP, me sigue sin conectar el Cliente que expongo en las fotos.
La verdad, se me agotan las ideas ...
Tan complicado es de realizar esta tarea ?
Por favor, si pueden ayudarme os lo agradeceria.
Gracias por vuestra dedicación,
Un Saludo
-
El problema es que el servidor de OpenVPN debe de correr no en la interface WAN , si no en la interface que agrupaste como failover.
por eso no funciona.
ahora, tu cliente debe de apuntar a la direccion de dyndns y esta se debe de actualizar correctamente tanto en el server como en los clientes, que deben de resolver la direccion del dyndns correctamente o como te comente con las dos configuraciones de remote.
no es muy complicado.
-
Buenas Acriollo,
Lo tengo montado como tu dices, El servidor OpenVPN apuntando contra el routing group con caracteristicas FailOver. Adjunto Fotos.
Me puedes confirmar que es correcto ?
Por lo menos puedo descartar que eso lo tengo mal.
Gracias
-
Es correcto.
Ahora del lado remoto deberas de configurar el cliente para que apunte ya sea a un dyndns que se resuelva del lado del server con el grupo de interfaces que tienes configurado en el Servidor de Openvpn o con una doble config del parametro -remote para que pueda conectarse al otro servicio cuando uno falle.
saludos
-
Lo tengo configurado así.
-
Parece estar bien .
Que problema tienes ?
Tienes abiertos los puertos en ambos wans ?
el dyndns esta configurado para el grupo de interfaces ?
-
Buenos días,
La verdad que nose que puede estar pasando.
Los puertos tengo abiertos el 1194 en todas las WAN, LAN… vamos hasta en el NAT en todas las maquinas.
El servidor dyndns funciona correctamente ya, el solo se actualiza y si pasan 25 días sin cambios, fuerza un actualización.
Sobre la configuración, realmente en la aparte avanzada, donde ponemos lo de " remote .... ; " no lo estoy usando, puesto que ya utilizo el método del Dinamic DNS.
Sinceramente, nose donde tengo el problema, y el problema es que no llega a conectar el PFSENSE lado cliente con el servidor apuntando al server DynDNS.
Sin embargo, si creo 2 servidores VPN, con diferente puerto y usando diferente interface, me conectan a los dos Servidores y hay trafico de datos por ambos, pero no balancea, es decir, si se cae uno de esos dos servidores, se acaba la conexión bajo el túnel.
A ver si conseguimos dar con el balanceo de VPN..
Un Saludo !!
-
El Dyndns corre en la interface del grupo de failover ?
-
A ver si nos ponemos de acuerdo y te apoyo remotamente via teamviewer o con otra opcion
estoy en mexico, puedo despues de las 9 pm mi horario -
Buenas tardes Acriollo, esta noche desde que estés disponible te doy acceso por teamviewer a las dos maquinas, al servidor y al cliente.
Espero tu mensaje privado y sino te importa lo vemos ?
Muchas gracias !!