У меня есть два ящика openbsd nat / firewall с карпом для обеспечения отказоустойчивости / высокой доступности. Что было бы наилучшей практикой, чтобы гарантировать, что OpenVPN, который я планирую запустить на этих устройствах, также плавно отключается при отказе?
OpenVPN не поддерживает какое-либо разделение состояния между двумя разными экземплярами демона, поэтому нет, вы не можете обеспечить беспрепятственное переключение при отказе.
Но вы всегда можете настроить своих клиентов на корректную обработку сбоя сервера. Если этот вид избыточности отвечает вашим потребностям, вы можете добиться этого, объединив две функции, которые действительно есть в OpenVPN:
1) автоматически повторная попытка после отключения от сервера И 2) подключение к случайно выбранному серверу при каждой попытке из заранее определенного списка.
Основная идея состоит в том, что вы можете запустить два (или три, или более) сервера OpenVPN и добавить все их IP-адреса или имена хостов в конфигурации вашего VPN-клиента. Кроме того, клиент должен быстро повторить попытку, чтобы минимизировать время простоя, которое испытывает пользователь. Когда один сервер выходит из строя, клиент переходит к следующему адресу в своем списке подключений, и соединение восстанавливается в довольно короткие сроки.
Документация доступна по адресу:
В частности, вы, вероятно, захотите взглянуть на эти параметры конфигурации:
Вы должны иметь возможность добавлять эти параметры на стороне клиента поверх любой комбинации других параметров клиент / сервер, которые вы, возможно, уже используете. Просто помните, что для «connect-retry» должно быть низкое значение, а для «connect-retry-max» высокое значение (возможно, даже бесконечное), и это должно работать очень хорошо.
Без потери текущего сеанса?
В любом случае вы всегда можете использовать ifstated (8), чтобы ощутить понижение роли CARP и запустить сервер OpenVPN.
На самом деле я не знаю, возникнут ли какие-либо проблемы с MASTER и SLAVE, работающими одновременно с сервером OpenVPN.