failover pfSense e OpenVPN site a site

Question

failover pfSense e OpenVPN site a site

#1 resposta do (3 votos)

2

Eu tenho dois clusters pfSense e estou tentando conectá-los a uma VPN site a site do OpenVPN. Inicialmente, o cliente era um único sistema pfSense, e tudo estava bem. Agora que um sistema é um cluster, e o OpenVPN site a site diminuiria de forma regular e cíclica com um reinício do ping.

Depois de muito puxar o cabelo, descobriu-se que o problema era o cliente secundário. O servidor (cluster) foi configurado para não permitir que CNs duplicados se conectassem.

Aparentemente, em um cluster, os serviços em execução são espelhados. Assim, dois servidores OpenVPN estão realmente em execução - e dois clientes OpenVPN. Desligar o cliente OpenVPN secundário foi insuficiente: próximo pfsync, ele reinicia. A desconexão da rede externa resolveu isso.

O "novo" cluster do pfSense (cliente) é v2.1.4; o cluster "antigo" do pfSense (servidor) é v2.1.3.

Quando ligo a opção Duplicar CN no servidor (v2.1.3), recebo este erro:

openvpn[41232]: Options error: --duplicate-cn requires --mode server

Quando adicionei mode server à seção Configurações avançadas do servidor, a VPN de site para site funcionou.

A pergunta é esta: É possível ter o failover do OpenVPN? Eu quero que ambos os clientes estejam funcionando? Ter ambos os nós do servidor (ou cliente) executando o OpenVPN causará problemas? Eu li que o failover do OpenVPN não é possível - mas o pfSense está agindo como é.

UPDATE: Estamos usando o OpenVPN para site-a-site, já que foi o que foi configurado no começo, e o uso de IPSec não foi considerado. Ainda é uma possibilidade no futuro.

Temos isso agora: M1 -+ +- Q1 | | +---inet--+ | | M2 -+ +- Q2

Antes do M2 ser criado, o OpenVPN para Q1 / Q2 funcionava bem.

Tem sido um problema desde então. Ouvi dizer que o OpenVPN não lida com failover - e também que misturar IPsec e OpenVPN no mesmo sistema pfSense é uma má ideia. Se eu pudesse entrar no IPsec, aposto que isso melhoraria as coisas. (Eu controlo todos os quatro endpoints pelo caminho.)

UPDATE 2 Tentei habilitar "Duplicate Connections" ... que na verdade acabou desligando o link invisivelmente (tudo parecia normal). Desativar isso fez as coisas fluírem novamente. O que estou perdendo?

openvpn failover pfsense

por Mei 23.07.2014 / 20:17

1 resposta

Tags openvpn failover pfsense

Sessão perdida no tomcat uing nginx como proxy Autenticar o Dovecot contra o Active Directory

score 3 · Accepted Answer

Nada de errado com a mistura de IPsec e OpenVPN, nem há problema em fazer OpenVPN com HA. Ao usar as instâncias do cliente OpenVPN em um par de AD, você deve vinculá-las a um IP CARP para que elas sejam executadas somente quando o CARP tiver o status principal.