lennyit
Goto Top

Opnsense WAN Failover - VPN Tunnel ebenfalls?

Hallo,

ich hätte da 1-2 Fragen zum Thema WAN Failover auf Opnsense in Verbindung mit einem VPN Tunnel.

In meinem Setup habe ich eine Opnsense mit 3 Interfaces:
LAN
WAN1 (Default GW)
WAN2

Der eigentliche Failover funktioniert auch soweit (WAN Group erstellt, auf member down gesetzt, monitor IP gesetzt, unter Rules für die Kommunikation nach außen die WAN Group anstatt des Default GWs benutzt). Mittels Ping Versuchen klappt es soweit.

Nun kommt mein Problem wo ich Hilfe bräuchte.
Auf der Opnsense läuft ebenfalls ein VPN Tunnel (Client) mittels OpenVPN. Der VPN Server befindet sich in einem Rechenzentrum.
Normalerweise läuft der Tunnel über das Default GW (WAN1). Wenn WAN1 nun ausfällt, ist der VPN Tunnel down. Der Failover springt an, Traffic läuft über WAN2. Soweit alles OK.

Problem: Der VPN Tunnel schwenkt nicht automatisch auf das WAN2 um und bleibt down. Bedeutet also, ich müsste dem VPN Tunnel entweder in den Einstellungen sagen, dass er nun über WAN2 laufen soll, was einen gewissen Aufwand (Failover - Fallback) erzwingen würde oder ich müsste den vpn Dienst einfach neustarten?

Daher meine Frage: Funktioniert der automatische Schwenk des VPN Tunnels mittels OpenVPN auf die Ersatz WAN Leitung überhaupt? Habe ich was falsch konfiguriert bzw. übersehen?

Gerade nochmal nachgeschaut, in den VPN Einstellungen kann ich unter Interfaces auch nur die jeweiligen Interfaces direkt auswählen, nicht aber z.B. Default o.Ä.

Vielen Dank.

Lenny

Content-Key: 483487

Url: https://administrator.de/contentid/483487

Ausgedruckt am: 29.03.2024 um 10:03 Uhr

Mitglied: aqui
aqui 09.08.2019 um 19:43:41 Uhr
Goto Top
Klappt mit OpenVPN fehlerlos:
https://forum.netgate.com/topic/101907/openvpn-and-dual-wan-failover
Da du ein Client hast ist die Absender IP völlig egal. Das Problem ist nur das ein Link Failover auch die Trennung und Neuinitialisierung des OpenVPN Clients triggern muss. Das ist bei dir scheinbar nicht der Fall.
Mit einer Failover Group sollte sich das problemlos lösen lassen.
Mitglied: Lennyit
Lennyit 09.08.2019 um 20:16:15 Uhr
Goto Top
Hallo,

danke für die Antwort.

Das Problem mit der Trennung und Neuinitialisierung hört sich schlüssig an.
Mit der Failover Group meinst du auf der opns unter Gateways -> Groups
WAN 1 Tier 1
WAN 2 Tier 2
Trigger: Member down ?

Das habe ich eigentlich so eingestellt.. und unter Rules -> LAN
LAN -> ! RFC1918 über die erstellte Gruppe

Evtl. muss ich länger warten bis der vpn dienst auf WAN2 umschwenkt? Oder muss ich die Neuinitialisierung manuell triggern auf WAN2?

Bei deinem Link sehe ich momentan nicht, dass mir etwas fehlt was dort eingestellt wurde.

Danke für deine Hilfe
Mitglied: Lennyit
Lennyit 09.08.2019 um 20:18:33 Uhr
Goto Top
If it's for an OpenVPN client, a gateway group should work OK, provided that it's a failover group (only one gateway per tier), though you might have an issue if the group prefers a WAN that isn't your default gateway.

Der Satz ist ganz spannend.

Gateway -> Groups
1 WAN GW 1 pro Tier habe ich
Tier 1 ist ebenfalls das Default GW WAN1
Mitglied: 117471
117471 12.08.2019 um 07:56:50 Uhr
Goto Top
Hallo,

afaik kannst Du in der OpenVPN-Konfiguration die Gatewaygruppe als Defaultgateway angeben.

Gruß,
J.