IPSEC VPN mit zwei Gateways, wie?

[Winchester]

Moin!

Gegeben ist eine Firmen Zentrale mit einem LANCOM Router mit 2 WAN Anbindungen mit festen IPv4 Adressen zwecks Redundanz. Beide WANs sind immer aktiv und der LANCOM macht für die Clients Loadbalancing.

Zu diesem LANCOM Router sollen IPSEC VPNs von OPNsense aus aufgebaut werden. Wie teile ich OPNsense mit das es für dieses VPN zwei Gateways gibt?

Wenn ich ich unter VPN>IPSEC>Connections bei "Remote addresses" beide IPv4 Adressen eintrage, baut er zur ersten IP Adresse das VPN auf. Soweit so gut.

Sollte jetzt in der Firmenzentrale diese erste IP Adresse aber nicht verfügbar sein also Ausfall der Leitung, soll er die zweite IP Adresse versuchen. Das macht OPNsense aber nicht.

Wie kann ich dieses in OPNsense realisieren? Auch sollte OPNsense erkennen das die erste IP Adresse wieder verfügbar ist, weil es die schnellere Leitung der Zentrale ist, und das VPN wieder auf dieses umswitchen.

Zusammengefasst, ein IPSEC VPN von OPNsense zu einer Gegenstelle mit zwei WAN Anschlüssen. Immer zuerst mit der schnelleren WAN Leitung auf der Gegenseite verbinden. Bei Ausfall dieser auf die zweite WAN Verbindung der Gegenseite wechseln. Im Hintergrund die Erreichbarkeit des ersten WAN der Gegenseite z.B. mittels Ping prüfen und bei wieder Verfügbarkeit VPN wieder umswitchen.

Gibts dafür ne Lösung? Hab nix vernünftiges dazu finden können, oder ich habe die falschen Suchbegriffe verwendet.

Gruß Winchester

[Monviech (Cedrik)]

Hier sollte zu beiden öffentlichen IPs jeweils eine VPN Verbindung aufgebaut werden, z.b. mit VTI VPN tunneln.

Dann kann z.b. mit dem FRR plugin OSPF oder BGP verwendet werden, um den Tunneln ein Gewicht im routing zu geben.

Wenn einer ausfällt wird dann automatisch der andere Tunnel zum routen verwendet.

Dieses Setup ist recht fortgeschritten, beide Router müssen OSPF oder BGP können (die OPNsense kann es mit dem frr plugin). Beide Router müssen Route Based IPsec VPN können (VTI).

[_Alchemist_]

Gibt es in OPNsense also keine Möglichkeit, via Dead Peer Detection (DPD) einen "primären" Tunnel zu stoppen und einen "sekundären" Tunnel aufzubauen, und umgekehrt den "sekundären" Tunnel zu stoppen, sobald der "primäre" Tunnel wieder verfügbar ist?

Der Weg mit dynamischen Routing ist sicherlich der beste, wie bereits beschrieben abed auch sehr Fortgeschrittenen.

[Monviech (Cedrik)]

Man könnte die Gegenseite Initiator sein lassen und die OPNsense responder. Dafür sollte die OPNsense aber eine feste IP haben.

Bei "local addresses" in Connections gibt man dann die lokale feste IP der OPNsense ein.
Bei "remote addresses" beide remote addressen die der andere Peer hat.

Dann kann von beiden von der Gegenseite aufgebaut werden, und die Gegenseite kann entscheiden über welche öffentliche IP der Tunnel aufgebaut werden soll.

Das wäre ein Beispiel wenn man mit Unterbrechungen leben kann.

Hier der Help Text zu "Remote addresses"

Remote address[es] to use for IKE communication. Accepts single IPv4/IPv6 addresses, DNS names, CIDR subnets or IP address ranges. As an initiator, the first non-range/non-subnet is used to initiate the connection to. As a responder, the initiator source address must match at least to one of the specified addresses, subnets or ranges. If FQDNs are assigned they are resolved every time a configuration lookup is done. If DNS resolution times out, the lookup is delayed for that time. To initiate a connection, at least one specific address or DNS name must be specified.

Wenn sich also die IP des Initiators ändert wird die Phase 1 wohl komplett "reauthenticated" werden, wenn die OPNsense Responder ist.