configuração openvpn redundante

3

Eu tenho duas caixas nat / firewall openbsd com carpa para fins de failover / alta disponibilidade. Qual seria a melhor prática possível para garantir que o OpenVPN, que eu planejo executar nessas caixas, também tenha um bom desempenho?

    
por imaginative 05.02.2010 / 22:36

2 respostas

13

O OpenVPN não suporta qualquer tipo de compartilhamento de estado entre duas instâncias de daemon diferentes, portanto, não, você não pode ter failover contínuo.

Mas, você sempre pode configurar seus clientes para lidar com uma falha do servidor normalmente. Se esse tipo de redundância atender às suas necessidades, você poderá conseguir isso combinando dois recursos que o OpenVPN realmente possui:

1) automaticamente tentando novamente após se desconectar do servidor, E  2) conectar-se a um servidor escolhido aleatoriamente em cada tentativa, a partir de uma lista pré-definida.

A idéia básica é que você pode executar dois (ou três ou mais) servidores OpenVPN e adicionar todos os seus endereços IP ou nomes de host às configurações do seu cliente VPN. Além disso, o cliente deve tentar novamente rapidamente para minimizar o tempo de inatividade experimentado pelo usuário. Quando um servidor falha, o cliente gira para o próximo endereço em sua lista de conexão e a conexão é restabelecida em um curto espaço de tempo.

A documentação está disponível em:

Em particular, você provavelmente desejará ver essas opções de configuração:

  • remoto
  • connect-retry
  • connect-retry-max
  • aleatório-remoto
  • ifconfig-pool-persist

Você deve ser capaz de adicionar essas opções, do lado do cliente, sobre qualquer combinação de outras opções de cliente / servidor que você já esteja usando. Apenas lembre-se de manter o 'connect-retry' baixo e o 'connect-retry-max' alto (possivelmente até infinito), e ele deve funcionar muito bem.

    
por 15.02.2010 / 05:20
2

Sem perder a sessão atual?

De qualquer forma, você sempre pode usar ifstated (8) para detectar um rebaixamento CARP e iniciar o servidor OpenVPN.
Na verdade, não sei se haveria algum problema com o MASTER e o SLAVE em execução ao mesmo tempo no servidor OpenVPN.

    
por 09.02.2010 / 20:20