HASetup können Clients den Slave erreichen?

[c-mu]

Hallo,
ich überlege die ganze Zeit wie ich folgendes Problem beheben kann:

Gegeben ist ein HA Setup aus zwei  Servern. Beispielsweise folgendes IP Setup:
Master hat die 10.0.0.1/24
Slave hat die 10.0.0.2/24
VPN Clients haben die 10.0.8.0/24

Wenn der Master den OVPN Server bereitstellt, können die Clients logischerweise auch das WebUI des Masters erreichen. Was ich mir wünschen würde ist, dass ich auch den Slave via VPN Clients erreichen kann, sehe aber das Problem, dass der Slave ebenfalls eine Route zum VPN Client Netz gesetzt hat, aber als Gateway nun mal seine "offline OVPN Instanz" hat. Dadurch finden die Anfragen vom VPN Client über den Master zum Slave den Weg natürlich nicht zurück.

Ich möchte erreichen, dass ich so leichter als mal eine Wartung per VPN durchführen kann, da ich gerne beispielsweise erst den Slave aktualisiere und anschließend dann den Master.

Bin für jede Idee dankbar!

[superwinni2]

Ich würde dies über ein entsprechendes NATting lösen welches den Haken aktiv hat, nicht via ConfigSync synchronisiert zu werden... Dann sollte es glaub schon passen

Andere Frage... Warum aktualisiert man sein BACKUP vor der Haupt FW?
Da ist wohl der Begriff Backup "aus dem Begriff" genommen...

Gesendet von meinem LG-H815 mit Tapatalk

[c-mu]

Okay ich versuch es morgen mal mit NAT Rules.

Und warum ich erst den "Backup" aktualisieren? Ist ja eher der Sklave bei mir, daher Slave ;-) Naja Geschmackssache: Wenn ich dann sehe das der Server nicht mehr bootet, das Update fehlschlug, ich mein Testnetz nicht verbinden kann oder what ever, ist es angenehmer, wenn die Kollegen davon erstmal gar nichts mitbekommen ;-)

[c-mu]

Ha! Perfekt! Genau die richtige Idee mit dem NATing. Funktioniert und daraus ergeben sich gerade dutzende neue Ideen die ich wahrscheinlich damit umsetzen kann!

Vielen Dank!

[superwinni2]

Na das klingt doch super

Mach der Allgemeinheit doch noch den Gefallen und erkläre wie man dies am besten einstellt... Dann steht auch die Lösung im Thread und nicht nur deine Frage und Hilfe zu den Lösungswegen

2 oder 3 kurze Sätze dürften hier ja reichen

Gesendet von meinem LG-H815 mit Tapatalk

[CoolTux]

Vielleicht ein kleiner Screenshot wenn es nicht zu viel verrät 

[c-mu]

Also es ist eine OUTBound NAT Regel die hier angewendet werden muss.

Bei mir heißt das Netz in dem die OpenVPN Server stehen "Transfer Net".

Ich habe mir also ein NATing Regel gebaut, die nur dann greift, wenn folgende Bedingungen erfüllt werden:
- interface in dem die OVPN Server sich befinden
- source ist meine IP Adresse (ist ein Alias)
- destination ist eine meiner Server IPs (ebenfalls Alias)
- Port ist 443 (ich schränke es gerne auf das minimale ein)
- NAT Address: TransferNet Address
Hier greift auch das Firewall Prinzip: First Match win's, deshalb muss ich die Regel vor "openvpn" setzen, sonst greift das NATing hier nicht. Man muss hier aber nicht mit Aliasen arbeiten, sondern kann ziemlich frei alles eingeben.

Ich hoffe das ist soweit klar. Ich liefere sonst auch gerne weitere Informationen, soweit ich kann.

PS: ich habe als Mode:
Hybrid outbound NAT rule generation
(automatically generated rules are applied after manual rules)

ausgwählt

[CoolTux]

Super. Vielen lieben Dank. Schaue ich mir heute Abend mal an.