我有两个pfSense集群,并试图将它们与OpenVPN站点到站点VPN进行连接。 最初,客户是一个单一的pfSense系统,一切都很好。 现在,一个系统是一个集群,而OpenVPN站点到站点会在重新启动ping的情况下定期和周期性地closures。
经过多次的拉扯,结果certificate问题是二手客户。 服务器(集群)configuration为不允许重复的CN连接。
显然,在一个集群中,正在运行的服务是镜像的。 因此,两个OpenVPN服务器实际上正在运行 – 和两个OpenVPN客户端。 closures辅助OpenVPN客户端是不够的:下一个pfsync,它重新启动。 断开外部networking固定它。
“新”pfSense集群(客户端)是v2.1.4; “旧”pfSense集群(服务器)是v2.1.3。
当我打开服务器(v2.1.3)上的重复CN选项时,出现此错误:
openvpn[41232]: Options error: --duplicate-cn requires --mode server
当我将mode server添加到mode server的“高级设置”部分时,站点到站点的VPN工作。
问题是:OpenVPN故障切换可行吗? 我是否希望两个客户都在运行? 同时运行OpenVPN的服务器(或客户端)节点会造成麻烦吗? 我读过OpenVPN故障转移是不可能的 – 但pfSense是这样的。
更新:我们正在使用OpenVPN站点到站点,因为这是一开始就设置的,并没有考虑使用IPSec。 今后还是有可能的。
我们现在有这个: M1 -+ +- Q1 | | +---inet--+ | | M2 -+ +- Q2 M1 -+ +- Q1 | | +---inet--+ | | M2 -+ +- Q2
在M2出现之前,到第一季度的OpenVPN运行良好。
从那以后一直很麻烦。 我听说OpenVPN不能处理故障转移 – 而且在同一个pfSense系统上混合使用IPsec和OpenVPN是一个坏主意。 如果我能分阶段IPsec,我敢打赌,这将改善事情。 (我顺便控制了所有四个端点。)
更新2试图启用“重复连接”…实际上竟然实际上closures链接不可见(一切都显得很正常)。 禁用,使事情再次stream动。 我错过了什么?
混合使用IPsec和OpenVPN没有什么问题,使用HA做OpenVPN也没有问题。 在HA对上使用OpenVPN客户端实例时,必须将它们绑定到CARP IP,以使它们只在CARP具有主控状态时运行。