我有两个 pfSense 集群,并试图将它们与 OpenVPN 站点到站点 VPN 连接起来。最初,客户端是一个单一的 pfSense 系统,一切都很好。现在一个系统是一个集群,并且 OpenVPN 站点到站点将定期和周期性地关闭,并重新启动 ping。
经过一番拉扯,结果发现问题出在次要客户身上。服务器(集群)配置为不允许连接重复的 CN。
显然,在集群中,正在运行的服务是镜像的。因此,实际上有两个 OpenVPN 服务器正在运行 - 以及两个 OpenVPN 客户端。关闭辅助 OpenVPN 客户端是不够的:下一次 pfsync,它会重新启动。断开外部网络修复它。
“新”pfSense 集群(客户端)是 v2.1.4;“旧” pfSense 集群(服务器)是 v2.1.3。
当我在服务器 (v2.1.3) 上打开重复 CN 选项时,我收到此错误:
openvpn[41232]: Options error: --duplicate-cn requires --mode server
当我添加mode server到服务器的高级设置部分时,站点到站点 VPN 工作。
问题是:进行 OpenVPN 故障转移是否可行?我希望两个客户端都运行吗?让两个服务器(或客户端)节点都运行 OpenVPN 会导致麻烦吗?我读到 OpenVPN 故障转移是不可能的 - 但 pfSense 的行为就像它一样。
更新:我们将 OpenVPN 用于站点到站点,因为这是一开始就设置的,并且没有考虑使用 IPSec。未来仍有可能。
我们现在有这个:
M1 -+ +- Q1
| |
+---inet--+
| |
M2 -+ +- Q2
在 M2 出现之前,Q1/Q2 的 OpenVPN 运行良好。
从那以后就麻烦了。我听说 OpenVPN 不处理故障转移 - 而且在同一个 pfSense 系统上混合 IPsec 和 OpenVPN 是一个坏主意。如果我可以分阶段使用 IPsec,我敢打赌这会改善问题。(顺便说一下,我控制了所有四个端点。)
更新 2尝试启用“重复连接”......实际上结果实际上是在不可见的情况下关闭了链接(一切看起来都很正常)。禁用它会使事情再次流动。我错过了什么?
将 IPsec 和 OpenVPN 混合使用没有问题,使用 HA 进行 OpenVPN 也没有问题。在 HA 对上使用 OpenVPN 客户端实例时,您必须将它们绑定到 CARP IP,以便它们仅在 CARP 具有主状态时运行。