Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
VPN auf einem CARP HA Cluster
« previous
next »
Print
Pages:
1
[
2
]
Author
Topic: VPN auf einem CARP HA Cluster (Read 7444 times)
hmarius1
Newbie
Posts: 34
Karma: 1
Re: VPN auf einem CARP HA Cluster
«
Reply #15 on:
June 28, 2019, 09:31:08 pm »
@mimugmail Ja im Wartungsmodus steht umgehend auf dem WAN interface der primären Firewall BACKUP.
@JeGr Nein IPSec wird nicht gestoppt/restartet auf der primären Firewall, wenn Sie zur BACKUP wird. Es wäre toll wenn die Firewall das tun würde. Vielen Dank für den Parameter.
OpenVPN funktioniert mit Keepalive auch mittlerweile Fehlerfrei beim umschalten.
Logged
hmarius1
Newbie
Posts: 34
Karma: 1
Re: VPN auf einem CARP HA Cluster
«
Reply #16 on:
June 30, 2019, 10:07:44 pm »
Was ich noch festgestellt habe für OpenVPN gibt es ein Script wenn es ein CARP Master/Backup event gibt für IPsec fehlt dieses.
Das Script liegt unter: /usr/local/etc/rc.syshook.d/carp/
Das OpenVPN Script startet und stopt den OpenVPN Server je nach CARP Status.
Gibt es so ein Script auf für IPsec?
Logged
franco
Administrator
Hero Member
Posts: 17570
Karma: 1596
Re: VPN auf einem CARP HA Cluster
«
Reply #17 on:
July 01, 2019, 01:05:12 pm »
Das Stop-Start für den Server bei CARP ist relativ unsinnig und wird nicht mehr in 19.7 enthalten sein. Der Server sollte *immer* laufen, denn er nimmt ja nur Verbindungen an, aber macht sich nicht nach aussen bemerkbar.
Das gilt auch für IPsec "Server".
Grüsse
Franco
Logged
hmarius1
Newbie
Posts: 34
Karma: 1
Re: VPN auf einem CARP HA Cluster
«
Reply #18 on:
July 01, 2019, 02:23:42 pm »
Hallo Franco,
vielen Dank für deine Antwort.
Wie stelle ich dann sicher das bei einem Ausfall oder wenn der Wartungsmodus aktiviert wird der IPsec auf der Backup Firewall auch einen Connect der VPN Verbindung durchführt und bei einem schwenk zurück auf die Master Firewall einen disconnect durchführt?
Wenn ich mein OPNsense Cluster per IPsec VPN mit einer Standalone OPNsense verbinde, wird bei einem komplett Ausfall des Master kein Connect auf der Backup Firewall durchgeführt. Diesen muss ich manuell machen. Wenn die Master Firewall wieder gestartet wird stellt diese wiederum ein Connect her. Laut Statusübersicht bleibt die VPN Verbindung aber trotzdem auf der Backup Firewall aber verbunden.
Sollten den die Firewalls aus dem Cluster die Verbindung aktiv herstellen oder sollten diese nur Antworten?
Logged
JeGr
Hero Member
Posts: 1945
Karma: 226
old man standing
Re: VPN auf einem CARP HA Cluster
«
Reply #19 on:
July 01, 2019, 05:49:04 pm »
> Das gilt auch für IPsec "Server".
@Franco: Gerade bei IPSec stimmt das ja aber nicht, oder? Hier kann man - außer anders konfiguriert immer Sender oder Empfänger sein, je nachdem wer gerade schneller anfragt?
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
mimugmail
Hero Member
Posts: 6761
Karma: 494
Re: VPN auf einem CARP HA Cluster
«
Reply #20 on:
July 01, 2019, 06:12:15 pm »
Wurde die Funktionalität entfernt oder nie da? Hast du grad nen commit parat?
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
franco
Administrator
Hero Member
Posts: 17570
Karma: 1596
Re: VPN auf einem CARP HA Cluster
«
Reply #21 on:
July 01, 2019, 07:52:47 pm »
Hallo zusammen,
Habe mich unglücklich ausgedrückt. IPsec hat noch nie auf CARP Events reagiert, daher ändert sich nichts. in OpenVPN sollten sich die Server mehr wie IPsec verhalten. Für Clients bleibt alles gleich.
Details dazu folgen im RC (diese Woche?!).
Grüsse
Franco
Logged
mimugmail
Hero Member
Posts: 6761
Karma: 494
Re: VPN auf einem CARP HA Cluster
«
Reply #22 on:
July 01, 2019, 08:19:47 pm »
Dachte ich mir schon, so ein commit wäre mir aufgefallen. Muss mal Lab aufbauen wenn's ruhiger ist.
Logged
WWW:
www.routerperformance.net
Support plans:
https://www.max-it.de/en/it-services/opnsense/
Commercial Plugins (German):
https://opnsense.max-it.de/
Print
Pages:
1
[
2
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
VPN auf einem CARP HA Cluster