IPSec HA mit sasyncd

nextvpn · March 21, 2016, 08:34:03 AM

Hallo Zusammen,

ich habe die glorreiche Aufgabe bekommen einen IPSec VPN Server zu implementieren - soweit so gut, aber das teil muss im HA mit Zero-Downtime (also Failover ohne neuen Verbindungsaufbau) laufen.

Hat schonmal jemand versucht mit OPNSense sowas zu bauen? Soweit ich gelesen habe, gibt es im OpenBSD Projekt ein Tool mit namen "sasyncd", dies soll dafür zuständig sein, die IPSec SAs im Sync zu halten damit diese beim Failover auch dem Slave-Node bekannt sind.

Hat sowas schonmal jemand gebaut? Gibt es da möglichkeiten?

Grüße aus Köln
Sven

franco · March 21, 2016, 04:26:35 PM

Hi Sven,

Es gab mal einen Versuch sasyncd auf FreeBSD zu heben in 2007, aber da ist nichts draus geworden[1]. In StrongSwan 4.x gibt es seit 2010 eine HA-Implementation[2]. 2015 hat sich jemand nach dem Stand in StronSwan erkundigt[3].

Soweit ich weiß gibt es keine mittelfristige Möglichkeit in OPNsense. Fraenki ist unser IPSec-Experte. Vielleicht weiß der noch was. :)

Gruss,
Franco

[1] https://forum.pfsense.org/index.php?topic=6737.0
[2] https://wiki.strongswan.org/projects/strongswan/wiki/HighAvailability
[3] https://lists.strongswan.org/pipermail/users/2015-February/007506.html

fraenki · March 22, 2016, 10:13:28 AM

Quote from: franco on March 21, 2016, 04:26:35 PM
Fraenki ist unser IPSec-Experte. Vielleicht weiß der noch was. :)

Hahaha, danke für die Blumen. ;D Leider muss ich da passen, für uns ist der erneute Verbindungsaufbau akzeptabel und somit gibt es bei mir kein Know-How zu den angesprochenen Lösungen.

Ciao
- Frank

IPSec HA mit sasyncd

nextvpn

March 21, 2016, 08:34:03 AM

franco

March 21, 2016, 04:26:35 PM #1

fraenki

March 22, 2016, 10:13:28 AM #2