9
VPN auf einer alternativen Route
Folgendes, bisheriges Szenario:
am Ort Nr. 1 befindet sich ein Openvpn-Client (Subnetz 192.168.1.0/24). Dieser baut als Openvpn-Client eine Verbindung zum Openvpn-Server am Ort Nr. 2 auf (Subnetz 192.168.2.0/24). Alle Clients hinter dem Client und Server kommunizieren in beide Richtungen miteinander.
Folgendes, wünschenswertes Szenario:
am Ort Nr. 2 wird eine zusätzliche DSL-Leitung in Betrieb genommen. Auf dem Openvpn-Server am Ort Nr. 2 wird eine zusätzliche Instanz des vpn-Dienstes auf einem anderen Port gestartet. Der VPN-Server wartet also auf zwei unterschiedlichen IP-Adressen auf eine Verbindung vom Openvpn-Client, der sich am Ort Nr. 1 befindet. Der Openvpn-Client baut also zwei Routen (beide zum gleichen Subnetz 192.168.2.0/24) auf.
Nun soll es so laufen, dass die IP-Geräte, die hinter dem Openvpn-Client am Ort Nr. 1 stehen den alternativen DSL-Zugang am Ort Nr. 2 nutzen sollen, falls der erste DSL-Zugang ausfällt.
Das Problem ist aber, dass bei einem Ausfall des zuerst aufgebauten VPN-Tunnels (am Openvpn-Client) immer noch die erste Route in der Routingtabelle steht und die Pakete nicht weitergeleitet werden können.
Gibt es eine Möglichkeit zu prüfen, ob die Pakete aus dem Netz des Ortes Nr. 1 das Netz des Ortes Nr. 2 erreichen können und falls nicht, den nicht funktionierenden Tunnel abzuschießen und den zweiten Tunnel nochmal aufzubauen, damit in der Routingtabelle der zweite Tunnel steht und somit die Pakete wieder durchgeroutet werden können?
Ich hoffe, ich habe mich einigermaßen klar ausgedrückt... Danke schon mal für die Antworten.
am Ort Nr. 1 befindet sich ein Openvpn-Client (Subnetz 192.168.1.0/24). Dieser baut als Openvpn-Client eine Verbindung zum Openvpn-Server am Ort Nr. 2 auf (Subnetz 192.168.2.0/24). Alle Clients hinter dem Client und Server kommunizieren in beide Richtungen miteinander.
Folgendes, wünschenswertes Szenario:
am Ort Nr. 2 wird eine zusätzliche DSL-Leitung in Betrieb genommen. Auf dem Openvpn-Server am Ort Nr. 2 wird eine zusätzliche Instanz des vpn-Dienstes auf einem anderen Port gestartet. Der VPN-Server wartet also auf zwei unterschiedlichen IP-Adressen auf eine Verbindung vom Openvpn-Client, der sich am Ort Nr. 1 befindet. Der Openvpn-Client baut also zwei Routen (beide zum gleichen Subnetz 192.168.2.0/24) auf.
Nun soll es so laufen, dass die IP-Geräte, die hinter dem Openvpn-Client am Ort Nr. 1 stehen den alternativen DSL-Zugang am Ort Nr. 2 nutzen sollen, falls der erste DSL-Zugang ausfällt.
Das Problem ist aber, dass bei einem Ausfall des zuerst aufgebauten VPN-Tunnels (am Openvpn-Client) immer noch die erste Route in der Routingtabelle steht und die Pakete nicht weitergeleitet werden können.
Gibt es eine Möglichkeit zu prüfen, ob die Pakete aus dem Netz des Ortes Nr. 1 das Netz des Ortes Nr. 2 erreichen können und falls nicht, den nicht funktionierenden Tunnel abzuschießen und den zweiten Tunnel nochmal aufzubauen, damit in der Routingtabelle der zweite Tunnel steht und somit die Pakete wieder durchgeroutet werden können?
Ich hoffe, ich habe mich einigermaßen klar ausgedrückt... Danke schon mal für die Antworten.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 184092
Url: https://administrator.de/contentid/184092
Ausgedruckt am: 26.11.2024 um 03:11 Uhr
9 Kommentare
Neuester Kommentar
So wie du das beschreibst ist das doch eher Site 2 Site VPN oder? Wenn "die Clients hinter dem Client" auch die VPN-Verbindung nutzen...
Am besten wäre da wohl ein 2. VPN-Server (auf der "Client-Seite") der das Failover macht und den (echten) Clients als Gateway dient.
Am besten wäre da wohl ein 2. VPN-Server (auf der "Client-Seite") der das Failover macht und den (echten) Clients als Gateway dient.
Es ist site2site vpn. Das Problem ist aber, dass die Clients dann ein zweites GW hätten, oder? Mein Ziel ist ein GW auf der Seite des Ortes Nr. 1. Dieses GW, das ja auch der VPN-Server ist, sollte dann die Routen autom. wechseln, falls die erste Route ausfällt.
Clients an Ort 1 -> Gateway an Ort 1 ====== (2 VPN-Verbindungen) ====== Gateway an Ort 2 <- Clients an Ort 2
Die Gateways sind die OpenVPN-Endpunkte. Die Clients kennen jeweils nur den Endpunkt als einziges Gateway und das Routing im Gateway entscheidet, über welche VPN-Verbindung das ganze läuft.
Die Gateways sind die OpenVPN-Endpunkte. Die Clients kennen jeweils nur den Endpunkt als einziges Gateway und das Routing im Gateway entscheidet, über welche VPN-Verbindung das ganze läuft.
Ja genau, aber: wenn die erste der beiden VPN-Verbindungen zusammenbricht, dann bleibt immer noch der Eintrag in der Routingtabelle, der auf den Tunnel zeigt, der nicht mehr existiert, z.B. dieser:
192.168.2.0 70.8.0.2 255.255.255.0 UG 0 0 0 tun0
Nun müsste dieser Tunnel abgebaut werden, also z.B. durch abschießen dieses openvpn-Prozesses mit kill, und der alternative Tunnel aufgebaut werden. Nur dann gehen die Pakete wieder in das Netz an Ort 2.
192.168.2.0 70.8.0.2 255.255.255.0 UG 0 0 0 tun0
Nun müsste dieser Tunnel abgebaut werden, also z.B. durch abschießen dieses openvpn-Prozesses mit kill, und der alternative Tunnel aufgebaut werden. Nur dann gehen die Pakete wieder in das Netz an Ort 2.
http://www.imped.net/oss/misc/openvpn-2.0-howto-edit.html#loadbalance
Der andere VPN-Endpunkt kriegt den Ausfall doch mit und reagiert ensprechend indem er eine neue Verbindung (über die Reserve-Leitung) aufbaut und die Routingtabelle anpasst.
Der andere VPN-Endpunkt kriegt den Ausfall doch mit und reagiert ensprechend indem er eine neue Verbindung (über die Reserve-Leitung) aufbaut und die Routingtabelle anpasst.
So ein VPN Design ist eigentlich krank. Es ist erheblich sinnvoller an Ort 2 einen Dual WAN Port Load Balancing Router zu installieren wie z.B. einen Draytek 2910
Der kümmert sich automatisch um die Auslastung der beiden DSL Links und um ein automatisches Failover wenn einer ausfällt.
http://alt.draytek.de/Beispiele_html/Ethernet_WAN_LAN/Dual_WAN.htm
So kann man sich diese unsägliche Frickelei der 2 OVPN Instanzen sparen.
Aus Sicherheits- und Verfügbarkeits Sicht ist das die optimale Lösung.
Der kümmert sich automatisch um die Auslastung der beiden DSL Links und um ein automatisches Failover wenn einer ausfällt.
http://alt.draytek.de/Beispiele_html/Ethernet_WAN_LAN/Dual_WAN.htm
So kann man sich diese unsägliche Frickelei der 2 OVPN Instanzen sparen.
Aus Sicherheits- und Verfügbarkeits Sicht ist das die optimale Lösung.
Danke für den Link atbs84. Hab das irgendwie nicht bedacht mit dem Failover, bzw. bisher nicht implementiert. Werde das mal testen.
Kein schlechter Ansatz aqui. Sei bedankt. Manchmal macht man sich das Leben unnötig schwer...
Das einzig Negative an der Sache ist vielleicht, dass man sich wahrscheinlich von dem Hersteller abhängig macht.
Also am besten gleich zwei Stck. für jeden Standort kaufen.
Das einzig Negative an der Sache ist vielleicht, dass man sich wahrscheinlich von dem Hersteller abhängig macht.
Also am besten gleich zwei Stck. für jeden Standort kaufen.
@linad21
Nein das ist Blödsinn. Eine Abhängigkeit gehst du damit keinesfalls ein, denn diese Dual Port WAN Router gibt es von diversen Herstellern...
Linksys, Edimax, LevelOne, Cisco usw. usw.
Da von einer Abhängigkeit zu sprechen wäre Unsinn, denn das ist ein absolut gängiges Szenario in solchen Anbindungen wo man 2 und mehr Internet Zugänge hat und auch ausnutzen will wofür man bezahlt...
Wenns das denn nun war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
Nein das ist Blödsinn. Eine Abhängigkeit gehst du damit keinesfalls ein, denn diese Dual Port WAN Router gibt es von diversen Herstellern...
Linksys, Edimax, LevelOne, Cisco usw. usw.
Da von einer Abhängigkeit zu sprechen wäre Unsinn, denn das ist ein absolut gängiges Szenario in solchen Anbindungen wo man 2 und mehr Internet Zugänge hat und auch ausnutzen will wofür man bezahlt...
Wenns das denn nun war bitte
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !
