我有两个 pfSense 集群,正在尝试将它们与 OpenVPN 站点到站点 VPN 连接起来。最初,客户端是一个 pfSense 系统,一切正常。现在,一个系统是一个集群,OpenVPN 站点到站点会定期和周期性地关闭,并重新启动 ping。
经过一番纠结,最终发现问题出在辅助客户端上。服务器(集群)配置为不允许重复的 CN 连接。
显然,在集群中,正在运行的服务是镜像的。因此,实际上有两个 OpenVPN 服务器正在运行 - 还有两个 OpenVPN 客户端。关闭辅助 OpenVPN 客户端是不够的:下次 pfsync 时,它会重新启动。断开外部网络可以解决这个问题。
“新” pfSense 集群(客户端)是 v2.1.4;“旧” pfSense 集群(服务器)是 v2.1.3。
当我在服务器(v2.1.3)上打开重复 CN 选项时,出现此错误:
openvpn[41232]: Options error: --duplicate-cn requires --mode server
当我添加mode server
到服务器的高级设置部分时,站点到站点的 VPN 就可以正常工作了。
问题是:OpenVPN 故障转移可行吗?我想让两个客户端都运行吗?两个服务器(或客户端)节点都运行 OpenVPN 会造成麻烦吗?我读到 OpenVPN 故障转移是不可能的 - 但 pfSense 表现得像可以一样。
更新:我们使用 OpenVPN 进行站点到站点通信,因为这是最初设置的方式,没有考虑使用 IPSec。未来仍有可能。
我们现在有这个:
M1 -+ +- Q1 | | +---inet--+ | | M2 -+ +- Q2
在推出 M2 之前,OpenVPN 到 Q1/Q2 运行良好。
从那以后就麻烦不断。我听说 OpenVPN 无法处理故障转移 - 而且在同一个 pfSense 系统上混合使用 IPsec 和 OpenVPN 是个坏主意。如果我能逐步采用 IPsec,我敢打赌事情会有所改善。(顺便说一下,我控制所有四个端点。)
更新2尝试启用“重复连接”……结果实际上是无形地关闭了链接(一切看起来都很正常)。禁用该功能后,一切又恢复正常。我遗漏了什么?
答案1
混合使用 IPsec 和 OpenVPN 没有任何问题,使用 HA 的 OpenVPN 也没有问题。在 HA 对上使用 OpenVPN 客户端实例时,必须将它们绑定到 CARP IP,以便它们仅在 CARP 具有主状态时运行。