Назад | Перейти на главную страницу

туннель OpenVPN между сайтами с включенным PFSense + CARP вызывает регулярные обрывы

У меня два центра обработки данных, и в каждом из них есть два сервера pfSense 2.1.5, работающих в режиме аварийного переключения CARP.

Я установил OpenVPN, туннель с общим ключом между двумя центрами обработки данных, указывающий на удаленный общедоступный IP-адрес CARP. На каждом сайте работают как клиент, так и сервер, поэтому они подключаются в двух направлениях.

Внутренне я заставляю удаленный шлюз указывать на ВНУТРЕННИЙ адрес CARP на брандмауэре, поэтому, если один брандмауэр выходит из строя, серверы за ним могут выйти через любой из них.

Все подошло, и я могу нормально разговаривать между двумя сайтами ... около 30 секунд. Через регулярные промежутки времени связь между ними будет отключаться ДЛЯ ВСЕГО, ЗА ИСКЛЮЧЕНИЕМ PING. то есть подключенные диски между двумя будут истекать по таймауту, соединения с базой данных будут отключены и т.д., однако я все время получаю устойчивый успешный пинг.

Это сводит меня с ума. Я не уверен, что проблема связана с OpenVPN, CARP или их комбинацией. Я готов перейти на IPSEC, если он лучше поддерживается этой конфигурацией.

Конфигурация сети:

DATACENTER 1:
10.1.1.x => INTERNAL NETWORK
10.1.1.2 => pfSense 1
55.55.55.66 => pfSense 1 WAN address
10.1.1.3 => pfSense 2
55.55.55.67 => pfSense 2 WAN address
55.55.55.68 => PUBLIC, CARP address
10.1.1.4 => Internal CARP address (gateway for all servers behind the firewall)
10.1.253.x => CARP private subnet (for heartbeats)

DATACENTER 2:
192.168.1.x => INTERNAL NETWORK
192.168.1.2 => pfSense 1
88.88.88.66 => pfSense 1 WAN address
192.168.1.3 => pfSense 2
88.88.88.67 => pfSense 2 WAN address
88.88.88.68 => PUBLIC, CARP address
192.168.1.4 => Internal CARP address (gateway for all servers behind the firewall)
168.168.253.x => CARP private subnet (for heartbeats)

DATACENTER 1 Конфигурация OpenVPN:

SERVER 
Server Mode: Peer to Peer (Shared Key)
Protocol: UDP
Interface: 55.55.55.68 (this is the public CARP address)
IPv4 Tunnel Network: 10.0.8.1/30
IPv4 Local Network: 10.1.1.0/24
IPv4 Remote Network: 192.168.1.0/24
Concurrent Connections: 24

CLIENT 
Protocol: UDP
Interface: WAN
Server Host: 88.88.88.68 (public CARP address at other datacenter)
Port 1194
IPv4 Tunnel Network: 10.0.9.1/30
IPv4 Remote Network: 192.168.1.0/24

ДАТАЦЕНТР 2

SERVER 
Server Mode: Peer to Peer (Shared Key)
Protocol: UDP
Interface: 88.88.88.68 (this is the public CARP address)
IPv4 Tunnel Network: 10.0.9.1/30
IPv4 Local Network: 192.168.1.0.0/24
IPv4 Remote Network: 10.1.1.0/24
Concurrent Connections: 32

CLIENT 
Protocol: UDP
Interface: WAN
Server Host: 55.55.55.68 (public CARP address at other datacenter)
Port 1194
IPv4 Tunnel Network: 10.0.8.1/30
IPv4 Remote Network: 10.1.1.0/24