pfSense – OpenVPN Server mit Multiwan

pfSense – OpenVPN Server mit Multiwan

Wenn man eine pfSense Firewall als OpenVPN Server mit mehreren Internetzugängen nutzt, lässt sich auch dafür eine Ausfallsicherheit schaffen.

Alles was es dafür braucht ist ein (Dyn-) DNS Eintrag, welcher immer auf die IP Adresse des gerade aktiven Interfaces zeigt und einen oder mehrere OpenVPN Server, welche auf allen Interfaces erreichbar sind.

Zuerst wird, falls nicht bereits geschehen, eine Gateway Group angelegt. In diesem Beispiel mit 3 Interfaces unterschiedlicher Priorität, Trigger ist „Member down“:

Diese wird als Interface für den DynDNS genutzt:

Die OpenVPN Server werden an das „Localhost“ Interface gebunden:

Zum Schluss werden noch pro WAN Interface NAT Regeln hinzugefügt, welche eingehende VPN Verbindungen an den oder die Server auf Localhost weiterleiten:

Auf diese Weise ist sichergestellt, dass beim Ausfall eines Internetzugangs der VPN Server fast verzögerungsfrei auf einem anderen Zugang zur Verfügung steht und die Clients sich neu verbinden können. Bei diesen kann es allerdings etwas dauern, bis der geänderte DNS Eintrag erkannt wird. 

Wird eine Lösung benötigt, welche quasi ausfallfrei arbeitet, ist auch das mit pfSense umsetzbar, es wird allerdings etwas mehr Aufwand nötig. 

Jörg Leuschner

Schreibe einen Kommentar