É possível implementar dois OpenVPN com capacidade de failover e replicação? Tipo, se um estiver inoperante/falha, o outro estará disponível para autenticação, configuração de servidor/cliente, etc.?
Responder1
Não consegui entender por que atirar do canhão à mosca. IHMO, existe uma maneira mais simples: usar recursos integrados do OpenVPN e linux iproute2 para redundância de caminhos múltiplos. Estarei mais seguro, mais estável e consumirei menos recursos.
Fonte:https://openvpn.net/index.php/open-source/documentation/howto.html
Implementando um cliente de configuração de balanceamento de carga/failover
A configuração do cliente OpenVPN pode referir-se a vários servidores para balanceamento de carga e failover. Por exemplo:
remote server1.mydomain
remote server2.mydomain
remote server3.mydomain
direcionará o cliente OpenVPN para tentar uma conexão com server1, server2 e server3 nessa ordem. Se uma conexão existente for interrompida, o cliente OpenVPN tentará novamente o servidor conectado mais recentemente e, se falhar, passará para o próximo servidor da lista. Você também pode direcionar o cliente OpenVPN para randomizar sua lista de servidores na inicialização, para que a carga do cliente seja distribuída probabilisticamente pelo pool de servidores.
remote-random
Se você também quiser que falhas na resolução de DNS façam com que o cliente OpenVPN passe para o próximo servidor da lista, adicione o seguinte:
resolv-retry 60
O parâmetro 60 informa ao cliente OpenVPN para tentar resolver cada nome DNS remoto por 60 segundos antes de passar para o próximo servidor da lista.
A lista de servidores também pode se referir a vários daemons de servidor OpenVPN em execução na mesma máquina, cada um escutando conexões em uma porta diferente, por exemplo:
remote smp-server1.mydomain 8000
remote smp-server1.mydomain 8001
remote smp-server2.mydomain 8000
remote smp-server2.mydomain 8001
Se seus servidores forem máquinas multiprocessadas, executar vários daemons OpenVPN em cada servidor pode ser vantajoso do ponto de vista de desempenho.
OpenVPN também suporta a diretiva remota referente a um nome DNS que possui vários registros A na configuração da zona do domínio. Neste caso, o cliente OpenVPN escolherá aleatoriamente um dos registros A sempre que o domínio for resolvido. Servidor
A abordagem mais simples para uma configuração de balanceamento de carga/failover no servidor é usar arquivos de configuração equivalentes em cada servidor no cluster, exceto usar um pool de endereços IP virtuais diferente para cada servidor. Por exemplo:
servidor1
server 10.8.0.0 255.255.255.0
servidor2
server 10.8.1.0 255.255.255.0
servidor3
server 10.8.2.0 255.255.255.0
Responder2
Failover? Sim, faço isso o tempo todo, usando heartbeat e CRM. Não vale a pena tentar replicar ou preservar o estado; quando o failover acontece, todos os clientes conectados serão autenticados novamente de qualquer maneira, e isso é bom para os guerreiros na estrada. Não seria bom para VPNs site a site, mas (imho) o OpenVPN é a ferramenta errada para elas, de qualquer maneira.