web-dev-qa-db-ja.com

pfSenseフェイルオーバーとOpenVPNサイト間

2つのpfSenseクラスターがあり、OpenVPNサイト間VPNでそれらを接続しようとしています。当初、クライアントは単一のpfSenseシステムであり、すべてが順調でした。これで、1つのシステムがクラスターになり、OpenVPNサイト間が定期的かつ周期的にダウンし、pingが再起動します。

多くの髪を引っ張った後、問題は二次クライアントであることが判明しました。サーバー(クラスター)は、重複するCNが接続できないように構成されました。

どうやら、クラスターでは、実行中のサービスがミラーリングされています。したがって、2つのOpenVPNサーバーが実際に実行されています-そして2つのOpenVPNクライアント。セカンダリOpenVPNクライアントをオフにするだけでは不十分でした。次のpfsyncで、再起動します。外部ネットワークを切断すると修正されました。

「新しい」pfSenseクラスター(クライアント)はv2.1.4です。 「古い」pfSenseクラスター(サーバー)はv2.1.3です。

サーバー(v2.1.3)で[CNの複製]オプションをオンにすると、次のエラーが発生します。

openvpn[41232]: Options error: --duplicate-cn requires --mode server

サーバーの[詳細設定]セクションにmode serverを追加すると、サイト間VPNが機能しました。

質問はこれです:OpenVPNフェイルオーバーを持つことは可能ですか?両方のクライアントを実行しますか?両方のサーバー(またはクライアント)ノードでOpenVPNを実行すると、問題が発生しますか? OpenVPNフェイルオーバーは不可能だと読みましたが、pfSenseはそのように動作しています。

PDATE:サイト間でOpenVPNを使用しています。これは最初に設定されたものであり、IPSecの使用は考慮されていませんでした。それはまだ将来の可能性です。

これがあります:M1 -+ +- Q1 | | +---inet--+ | | M2 -+ +- Q2

M2が登場する前は、Q1/Q2へのOpenVPNは正常に機能していました。

それ以来、トラブルに見舞われています。 OpenVPNはフェイルオーバーを処理しないと聞きました。また、同じpfSenseシステムでIPsecとOpenVPNを混在させることは悪い考えです。 IPsecを段階的に導入できれば、問題は改善されると思います。 (ちなみに、私は4つのエンドポイントすべてを制御しています。)

PDATE 2「DuplicateConnections」を有効にしようとしました...実際にはリンクを目に見えない形でシャットダウンすることが実際に判明しました(すべてが正常に見えました)。それを無効にすると、物事が再び流れます。何が足りないのですか?

2
Mei

IPsecとOpenVPNの混合に問題はなく、HAでOpenVPNを実行しても問題はありません。 HAペアでOpenVPNクライアントインスタンスを使用する場合は、CARPがマスターステータスの場合にのみ実行されるように、それらをCARPIPにバインドする必要があります。

3
Chris Buechler