pfSense – OpenVPN Server mit Multiwan

Wenn man eine pfSense Firewall als OpenVPN Server mit mehreren Internetzugängen nutzt, lässt sich auch dafür eine Ausfallsicherheit schaffen.

Alles was es dafür braucht ist ein (Dyn-) DNS Eintrag, welcher immer auf die IP Adresse des gerade aktiven Interfaces zeigt und einen oder mehrere OpenVPN Server, welche auf allen Interfaces erreichbar sind.

Zuerst wird, falls nicht bereits geschehen, eine Gateway Group angelegt. In diesem Beispiel mit 3 Interfaces unterschiedlicher Priorität, Trigger ist „Member down“:

Diese wird als Interface für den DynDNS genutzt:

Die OpenVPN Server werden an das „Localhost“ Interface gebunden:

Zum Schluss werden noch pro WAN Interface NAT Regeln hinzugefügt, welche eingehende VPN Verbindungen an den oder die Server auf Localhost weiterleiten:

Auf diese Weise ist sichergestellt, dass beim Ausfall eines Internetzugangs der VPN Server fast verzögerungsfrei auf einem anderen Zugang zur Verfügung steht und die Clients sich neu verbinden können. Bei diesen kann es allerdings etwas dauern, bis der geänderte DNS Eintrag erkannt wird. 

Wird eine Lösung benötigt, welche quasi ausfallfrei arbeitet, ist auch das mit pfSense umsetzbar, es wird allerdings etwas mehr Aufwand nötig. 

3 Kommentare

  1. Hallo,
    Besten Dank für den interessanten Blogbeitrag. Wie sieht es aus, wenn ich auf einem physischen Anschluss zwei ISP-Modems mittels VLAN-Tag über zwei Interfaces und dazugehörigen Gateways betreibe, wenn eines davon ein 4G/LTE-Modem ist? Dann war es mir nicht möglich, den Zugang per VPN herzustellen, falls per failover das 4G/LTE-Modem aktiv ist. Woran könnte das liegen?
    Gruss
    Thomas

    1. Hallo Thomas,

      um das Problem zu verstehen bräuchte ich noch ein paar zusätzliche Informationen.
      Geht es um einen VPN von außen? OpenVPN oder IPSec?
      Möglicherweise macht der 4G/LTE ISP nochmal oder (mehrfach) NAT und du bekommst gar keine öffentliche IP Adresse zugewiesen. Das ist leider bei den Zugängen oft der Fall.
      Kannst du mir noch ein paar Details zur Konfiguration hier im Beitrag oder gern auch als PN zusenden?

      Viele Grüße
      Jörg

      1. Lieber Jörg
        Besten Dank für deine Fragen. Jetzt ist mir alles klar: Natürlich macht der 4G/LTE Provider Nat und ich komme nur auf dieses „NAT“ und habe daher gar nicht die „öffentliche IP“ meines 4G/LTE-Router.
        Somit kann ich das vergessen, weil es einfach nicht geht und ich nur zur IP der „Antenne“ kommt und somit die IP-Adresse für tausende.
        Gruss
        Thomas

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert