7
PfSense HA - Failoverzeit für OpenVPN Connections
Moin zusammen,
zum Setup:
PfSense HA mit 3 Nodes
Der State-Sync funktioniert super, auch der Recover wenn der Master ausfällt dauert nur wenige Sekunden und beispielsweise aktive Telefonate können (fast) ohne Abbruch weitergeführt werden.
Allerdings sind einige Standorte mit einem OpenVPN Tunnel angebunden. Hier verhält es sich so, dass das HA-Setup den OVPN-Server und die Standorte die Clients darstellt.
Der OVPN-Dienst ist dabei nur am Master aktiv. Wenn nun im HA-Setup der Master ausfällt und die Backup-PfSense übernimmt, werden dort die OVPN-Dienste gestartet und es kommt zu einem Verbindungsabbruch von ca. 30 Sekunden, bis die Tunnel wieder stehen...
Gibt es eine Möglichkeit, diese Zeit zu verkürzen?
Mit wäre nur eingefallen, im Client die Pingsettings von 10/60 (Interval/Timeout) auf etwas kürzeres wie 5/15 anzupassen, allerdings provoziert man dadurch womöglich Reconnects wenn das DSL am Außenstandort nicht ganz stabil ist...
Bin gespannt auf eure Erfahrungen
Viele Grüße
zum Setup:
PfSense HA mit 3 Nodes
Der State-Sync funktioniert super, auch der Recover wenn der Master ausfällt dauert nur wenige Sekunden und beispielsweise aktive Telefonate können (fast) ohne Abbruch weitergeführt werden.
Allerdings sind einige Standorte mit einem OpenVPN Tunnel angebunden. Hier verhält es sich so, dass das HA-Setup den OVPN-Server und die Standorte die Clients darstellt.
Der OVPN-Dienst ist dabei nur am Master aktiv. Wenn nun im HA-Setup der Master ausfällt und die Backup-PfSense übernimmt, werden dort die OVPN-Dienste gestartet und es kommt zu einem Verbindungsabbruch von ca. 30 Sekunden, bis die Tunnel wieder stehen...
Gibt es eine Möglichkeit, diese Zeit zu verkürzen?
Mit wäre nur eingefallen, im Client die Pingsettings von 10/60 (Interval/Timeout) auf etwas kürzeres wie 5/15 anzupassen, allerdings provoziert man dadurch womöglich Reconnects wenn das DSL am Außenstandort nicht ganz stabil ist...
Bin gespannt auf eure Erfahrungen
Viele Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 669648
Url: https://administrator.de/forum/pfsense-ha-failoverzeit-fuer-openvpn-connections-669648.html
Ausgedruckt am: 21.12.2024 um 17:12 Uhr
7 Kommentare
Neuester Kommentar
Moderne IKEv2 Tunnel schaffen das Failover in ein paar Sekunden. Vielleicht mal eine Option über dieses in die Jahre gekommen VPN Protokolls nachzudenken was kein Multithreading kann und einen grottenschlechten Durchsatz hat.
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Moin aqui,
danke für den Input. Das ganze gestaltet sich etwas umständlicher...
Also: An den Standorten sind jeweils auch zwei WANs verfügbar (DSL+Mobilfunk), hier wollten wir aber einen Seamless Switch. Daher sind vom Standort zur Zentrale zwei OVPN-Tunnel mit Trägernetz, wobei das Routing und Failover unser internes BGP macht. Damit habe ich einen seamless Switch im Standort wenn ich z.B. DSL ziehe.
Router sind überall PFSensen.
Das lief auch zuerst mit IPSEC (VTI), das hat aber nicht richtig funktioniert. Das Routing passiert ja hier teilweise schon im Kernel wesswegen wir Fehler hatten, die nicht wirklich nachvollzogen werden konnten. Daher erfolgte der Wechsel auf OVPN, was auch tadellos seit über einem Jahr und ohne Probleme funktioniert...
Wenn du sagst es ist die einzige Möglichkeit, würde ich mir hier nochmal ein Testsetup aufbauen und dem ganzen eine zweite Chance geben. Bei der Gelegenheit aber dann auch gleich Wireguard eine Chance geben.
danke für den Input. Das ganze gestaltet sich etwas umständlicher...
Also: An den Standorten sind jeweils auch zwei WANs verfügbar (DSL+Mobilfunk), hier wollten wir aber einen Seamless Switch. Daher sind vom Standort zur Zentrale zwei OVPN-Tunnel mit Trägernetz, wobei das Routing und Failover unser internes BGP macht. Damit habe ich einen seamless Switch im Standort wenn ich z.B. DSL ziehe.
Router sind überall PFSensen.
Das lief auch zuerst mit IPSEC (VTI), das hat aber nicht richtig funktioniert. Das Routing passiert ja hier teilweise schon im Kernel wesswegen wir Fehler hatten, die nicht wirklich nachvollzogen werden konnten. Daher erfolgte der Wechsel auf OVPN, was auch tadellos seit über einem Jahr und ohne Probleme funktioniert...
Wenn du sagst es ist die einzige Möglichkeit, würde ich mir hier nochmal ein Testsetup aufbauen und dem ganzen eine zweite Chance geben. Bei der Gelegenheit aber dann auch gleich Wireguard eine Chance geben.
Mit IKEv2 und dynamischem Routing (oder auch ohne) geht das aber auch so. Andernfalls bleibt ja noch WG mit dynmischem Routing was mit entsprechenden Keepalives auch ein Failover im Sekundenbereich realisieren kann.
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Merkzettel: VPN Installation mit Wireguard
Gibt ja, wie immer, viele Wege nach Rom.
Cisco, Mikrotik, pfSense VPN Standort Vernetzung mit dynamischem Routing
Merkzettel: VPN Installation mit Wireguard
Gibt ja, wie immer, viele Wege nach Rom.
Was ist denn deine Meinung zu WG (mit PfSense)? Ich hatte das ganz zu Anfang mal laufen als es bei Netgate im Core implementiert wurde, aber dann ja mit der nächsten Version wieder rausgeflogen ist (mal von PLUS abgesehen) und jetzt weiterhin nur als Extension erhältlich ist.
Läuft das mittlerweilse stabil?
Läuft das mittlerweilse stabil?
Hallo juergenmaier
Wieso soll das nicht stabil laufen?
Ich persönlich habe keine Openvpns mehr im Einsatz. Wg ist um einiges performanter und hat von Haus aus eine sichere ciphers...
Gruss adminst
Wieso soll das nicht stabil laufen?
Ich persönlich habe keine Openvpns mehr im Einsatz. Wg ist um einiges performanter und hat von Haus aus eine sichere ciphers...
Gruss adminst
Moinsen,
wie gesagt, ich hatte das mit PfSense (2.6.0 (?)) im Einsatz, wo es dann wieder rausgeflogen ist, wegen der Sicherheitslücken die es damals gab. Und bisher hat es das Paket nicht mehr in die CE-Version geschafft.
Ich werde mir das die Tage mal anschauen - Danke für euren Input
wie gesagt, ich hatte das mit PfSense (2.6.0 (?)) im Einsatz, wo es dann wieder rausgeflogen ist, wegen der Sicherheitslücken die es damals gab. Und bisher hat es das Paket nicht mehr in die CE-Version geschafft.
Ich werde mir das die Tage mal anschauen - Danke für euren Input
Nach einigem geteste: Wireguard ist eine denkbar schlechte Lösung.
In eine Active/Backup HA-Setup (oder in meinem Fall Active/Backup/Backup) mit einer CARP VIP als Public IP funktioniert Wireguard nicht wirklich (https://redmine.pfsense.org/issues/11302).
Es wäre lediglich eine Lösung, mit den einzelnen WAN-IPs jeweils einen Tunnel aufzubauen und dann das Routing über BGP zu machen. Das wiederrum ist aber blöd, wenn der Uplink als solcher auch über BGP reinkommt weil man das Cluster z.B. im Datacenter sitzen hat und seine Public IPs (WAN VIP) über zwei POPs ins eigene /24er mit Anycast Routed ;). Dann hat man nämlich ganz schnell einen Downstream an zwei verschiedene PFSensen, somit an die "Backup" und dann passen die States nicht mehr... (und nein, stateless PfSense ist keine Option).
Und selbst wenn man das hinbekommt (was wahrscheinlich irgendwie geht - BGP Dienst mit CARP aktivieren und so) ist der Konfigurationsaufwand von dreifachen Anzahl von Tunneln (bei einem redundaten Uplink an den Standorten und 3-Node-HA-Cluster dann 6 statt 2; bei 20 Standorten 120 statt 40) schon erheblich.
Also nochmal auf Anfang zur eigentlichen Frage bevor wir in die Sinnhaftigkeit von OVPN eingestiegen sind: Hat jemand eine Idee wie man das Failover im gegebene Setup verkürzen kann?
In eine Active/Backup HA-Setup (oder in meinem Fall Active/Backup/Backup) mit einer CARP VIP als Public IP funktioniert Wireguard nicht wirklich (https://redmine.pfsense.org/issues/11302).
Es wäre lediglich eine Lösung, mit den einzelnen WAN-IPs jeweils einen Tunnel aufzubauen und dann das Routing über BGP zu machen. Das wiederrum ist aber blöd, wenn der Uplink als solcher auch über BGP reinkommt weil man das Cluster z.B. im Datacenter sitzen hat und seine Public IPs (WAN VIP) über zwei POPs ins eigene /24er mit Anycast Routed ;). Dann hat man nämlich ganz schnell einen Downstream an zwei verschiedene PFSensen, somit an die "Backup" und dann passen die States nicht mehr... (und nein, stateless PfSense ist keine Option).
Und selbst wenn man das hinbekommt (was wahrscheinlich irgendwie geht - BGP Dienst mit CARP aktivieren und so) ist der Konfigurationsaufwand von dreifachen Anzahl von Tunneln (bei einem redundaten Uplink an den Standorten und 3-Node-HA-Cluster dann 6 statt 2; bei 20 Standorten 120 statt 40) schon erheblich.
Also nochmal auf Anfang zur eigentlichen Frage bevor wir in die Sinnhaftigkeit von OVPN eingestiegen sind: Hat jemand eine Idee wie man das Failover im gegebene Setup verkürzen kann?
