У меня есть два кластера pfSense, и я пытаюсь подключить их с помощью VPN типа «сеть-сеть» OpenVPN. Изначально клиентом была единая система pfSense, и все было хорошо. Теперь, когда одна система представляет собой кластер, межсайтовый трафик OpenVPN будет отключаться на регулярной и циклической основе с перезапуском ping.
После долгого выдергивания волос выяснилось, что проблема была во вторичном клиенте. Сервер (кластер) был настроен так, чтобы не разрешать дублирующимся CN подключаться.
Судя по всему, в кластере выполняющиеся службы зеркалируются. Таким образом, фактически работают два сервера OpenVPN и два клиента OpenVPN. Выключить вторичный клиент OpenVPN было недостаточно: следующий pfsync перезапускается. Это исправило отключение внешней сети.
«Новый» кластер (клиент) pfSense - v2.1.4; «старый» кластер (сервер) pfSense - v2.1.3.
Когда я включаю опцию Duplicate CN на сервере (v2.1.3), я получаю эту ошибку:
openvpn[41232]: Options error: --duplicate-cn requires --mode server
Когда я добавил mode server к разделу Advanced Settings сервера работала межсайтовая VPN.
Вопрос такой: возможно ли переключение OpenVPN при отказе? Я хочу, чтобы оба клиента работали? Будет ли вызывать проблемы наличие на обоих серверных (или клиентских) узлах OpenVPN? Я читал, что аварийное переключение OpenVPN невозможно, но pfSense действует так, как есть.
ОБНОВИТЬ: Мы используем OpenVPN для связи между сайтами, поскольку это было то, что было настроено в начале, и использование IPSec не рассматривалось. Это все еще возможно в будущем.
Теперь у нас есть это:
M1 -+ +- Q1
| |
+---inet--+
| |
M2 -+ +- Q2
До появления M2 OpenVPN до Q1 / Q2 работал нормально.
С тех пор это были проблемы. Я слышал, что OpenVPN не поддерживает аварийное переключение, а также что смешивание IPsec и OpenVPN в одной системе pfSense - плохая идея. Если бы я мог постепенно внедрить IPsec, держу пари, это улучшит ситуацию. (Кстати, я контролирую все четыре конечные точки.)
ОБНОВЛЕНИЕ 2 Пытался включить "Повторяющиеся соединения" ... фактически оказалось, что соединение невидимо отключилось (все выглядело нормально). Отключение, которое заставило вещи снова течь. Что мне не хватает?
Нет ничего плохого в смешивании IPsec и OpenVPN, и нет проблем при использовании OpenVPN с HA. При использовании экземпляров клиента OpenVPN в паре высокой доступности вы должны привязать их к IP-адресу CARP, чтобы они запускались только тогда, когда CARP имеет статус master.