VPN auf einem CARP HA Cluster

Started by hmarius1, June 26, 2019, 02:51:55 PM

Previous topic - Next topic
Print
Go Down Pages 1 2
User actions
June 28, 2019, 09:31:08 PM #15
@mimugmail Ja im Wartungsmodus steht umgehend auf dem WAN interface der primären Firewall BACKUP.

@JeGr Nein IPSec wird nicht gestoppt/restartet auf der primären Firewall, wenn Sie zur BACKUP wird. Es wäre toll wenn die Firewall das tun würde. Vielen Dank für den Parameter.

OpenVPN funktioniert mit Keepalive auch mittlerweile Fehlerfrei beim umschalten.
June 30, 2019, 10:07:44 PM #16
Was ich noch festgestellt habe für OpenVPN gibt es ein Script wenn es ein CARP Master/Backup event gibt für IPsec fehlt dieses.

Das Script liegt unter: /usr/local/etc/rc.syshook.d/carp/

Das OpenVPN Script startet und stopt den OpenVPN Server je nach CARP Status.

Gibt es so ein Script auf für IPsec?
July 01, 2019, 01:05:12 PM #17
Das Stop-Start für den Server bei CARP ist relativ unsinnig und wird nicht mehr in 19.7 enthalten sein. Der Server sollte *immer* laufen, denn er nimmt ja nur Verbindungen an, aber macht sich nicht nach aussen bemerkbar.

Das gilt auch für IPsec "Server".


Grüsse
Franco
July 01, 2019, 02:23:42 PM #18
Hallo Franco,

vielen Dank für deine Antwort.

Wie stelle ich dann sicher das bei einem Ausfall oder wenn der Wartungsmodus aktiviert wird der IPsec auf der Backup Firewall auch einen Connect der VPN Verbindung durchführt und bei einem schwenk zurück auf die Master Firewall einen disconnect durchführt?

Wenn ich mein OPNsense Cluster per IPsec VPN mit einer Standalone OPNsense verbinde, wird bei einem komplett Ausfall des Master kein Connect auf der Backup Firewall durchgeführt. Diesen muss ich manuell machen. Wenn die Master Firewall wieder gestartet wird stellt diese wiederum ein Connect her. Laut Statusübersicht bleibt die VPN Verbindung aber trotzdem auf der Backup Firewall aber verbunden.

Sollten den die Firewalls aus dem Cluster die Verbindung aktiv herstellen oder sollten diese nur Antworten?

July 01, 2019, 05:49:04 PM #19
> Das gilt auch für IPsec "Server".

@Franco: Gerade bei IPSec stimmt das ja aber nicht, oder? Hier kann man - außer anders konfiguriert immer Sender oder Empfänger sein, je nachdem wer gerade schneller anfragt?
"It doesn't work!" is no valid error description! - Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense! ;)

If you're interested in german-speaking business support, feel free to reach out via PM.
July 01, 2019, 06:12:15 PM #20
Wurde die Funktionalität entfernt oder nie da? Hast du grad nen commit parat?
July 01, 2019, 07:52:47 PM #21
Hallo zusammen,

Habe mich unglücklich ausgedrückt. IPsec hat noch nie auf CARP Events reagiert, daher ändert sich nichts. in OpenVPN sollten sich die Server mehr wie IPsec verhalten. Für Clients bleibt alles gleich.

Details dazu folgen im RC (diese Woche?!). :)


Grüsse
Franco
July 01, 2019, 08:19:47 PM #22
Dachte ich mir schon, so ein commit wäre mir aufgefallen. Muss mal Lab aufbauen wenn's ruhiger ist.
Print
Go Up Pages 1 2
User actions