https://opennet.me/openforum/vsluhforumID1/94667.html Доброго всем времени суток.<br><br>Сложилось так, что необходимо создать отказоустойчивый кластер OpenVPN ибо на этот сервер завязано не мало всего.<br><br>Сразу опишу систему.<br><br>node1: openvpn1.testdomain.mydomain.ru 192.168.32.10 (192.168.32.9- virtual IP)<br>node2: openvpn2.testdomain.mydomain.ru 192.168.32.11<br><br>Решено было сделать следующую связку. OpenVPN + Heartbeat + rsync. Последнее для синхронизации /etc/openvpn с первой Ноды на вторую Ноду. Из Мира к виртуальному IP сервера проброшен порт 1194(udp).<br><br><br><br>И всё, вроде бы, гладко. Виртуальный интерфейс заводится. При "вылетании" Node1 сервис OpenVPN автоматом заводится на Node2, туда же "перекочевывает" и виртуальный IP. По этому виртуальному IP я могу админить сервер (заходить по SSH, просматривать Веб интерфейс Webmin). <br><br>Но вот беда. Никак не могу зацепиться по виртуальному IP к OpenVPN серверу. Лог клиента ниже.<br><br>Sat May 18 17:54:05 2013 WARNING: No server certificate verification method has been enabled. See http://openvpn.net/howto.html#mitm for https://opennet.me/openforum/vsluhforumID1/94667.html#9 Mon, 20 May 2013 11:57:58 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Sat May 18 17:55:07 2013 WARNING: No server certificate verification method has <br>&gt;&gt; been enabled....<br>&gt;&gt; И вот этого я понять не могу. Я пробросил из Мира порт <br>&gt;&gt; 10000 на виртуальный IP и могу заходить на свой Вебмин, что <br>&gt;&gt; говорит о том, что форвардинг на виртуальный IP работает. Но вот <br>&gt;&gt; OpenVPN не стартует и всё тут.<br>&gt;&gt; Если сделать форвардинг на Реальный IP (192.168.32.10) то ВПН запускается и работает.<br>&gt;&gt; Может есть идеи в какую сторону копать?<br>&gt; multihome?<br>&gt; попробуйте 1194/tcp <br><br>Спасибо, reader. multihome спас положение. <br><br>Решение НАЙДЕНО :)<br><br>SOLVED<br> https://opennet.me/openforum/vsluhforumID1/94667.html#8 Mon, 20 May 2013 09:52:48 GMT &gt;[оверквотинг удален]<br>&gt; Sat May 18 17:55:05 2013 TLS Error: TLS handshake failed <br>&gt; Sat May 18 17:55:05 2013 SIGUSR1[soft,tls-error] received, process restarting <br>&gt; Sat May 18 17:55:07 2013 WARNING: No server certificate verification method has <br>&gt; been enabled....<br>&gt; И вот этого я понять не могу. Я пробросил из Мира порт <br>&gt; 10000 на виртуальный IP и могу заходить на свой Вебмин, что <br>&gt; говорит о том, что форвардинг на виртуальный IP работает. Но вот <br>&gt; OpenVPN не стартует и всё тут.<br>&gt; Если сделать форвардинг на Реальный IP (192.168.32.10) то ВПН запускается и работает. <br>&gt; Может есть идеи в какую сторону копать?<br><br>multihome?<br><br>попробуйте 1194/tcp<br> https://opennet.me/openforum/vsluhforumID1/94667.html#7 Mon, 20 May 2013 09:15:52 GMT &gt;[оверквотинг удален]<br>&gt;&gt; been enabled....<br>&gt;&gt; И вот этого я понять не могу. Я пробросил из Мира порт <br>&gt;&gt; 10000 на виртуальный IP и могу заходить на свой Вебмин, что <br>&gt;&gt; говорит о том, что форвардинг на виртуальный IP работает. Но вот <br>&gt;&gt; OpenVPN не стартует и всё тут.<br>&gt;&gt; Если сделать форвардинг на Реальный IP (192.168.32.10) то ВПН запускается и работает.<br>&gt;&gt; Может есть идеи в какую сторону копать?<br>&gt; Настройки netfilter на второй ноде правильны? Что показывает netstat -apnu на первой <br>&gt; ноде (когда она активна) и на второй (когда активна она)?<br>&gt; Вместо rsync можно использовать drbd - классная штука, рекомендую) <br><br>И так подробные конфиги.<br><br>####################<br>Сетевые настройки ##<br>####################<br><br>Node1: openvpn1.testdomain.mydomain.ru <br>Eth0 192.168.32.10<br><br>Node2: openvpn2.testdomain.mydomain.ru<br>Eth0 192.168.32.11<br><br>######################<br>Настройки Heartbeat ##<br>######################<br><br>Node1:<br><br>/etc/ha.d/ha.cf<br>logfile /var/log/ha-log<br>logfacility local0<br>keepalive 2<br> https://opennet.me/openforum/vsluhforumID1/94667.html#6 Mon, 20 May 2013 07:49:01 GMT &gt;[оверквотинг удален]<br>&gt; Sat May 18 17:55:05 2013 TLS Error: TLS handshake failed <br>&gt; Sat May 18 17:55:05 2013 SIGUSR1[soft,tls-error] received, process restarting <br>&gt; Sat May 18 17:55:07 2013 WARNING: No server certificate verification method has <br>&gt; been enabled....<br>&gt; И вот этого я понять не могу. Я пробросил из Мира порт <br>&gt; 10000 на виртуальный IP и могу заходить на свой Вебмин, что <br>&gt; говорит о том, что форвардинг на виртуальный IP работает. Но вот <br>&gt; OpenVPN не стартует и всё тут.<br>&gt; Если сделать форвардинг на Реальный IP (192.168.32.10) то ВПН запускается и работает. <br>&gt; Может есть идеи в какую сторону копать?<br><br>А может можно и без heartbeat обойтись. У OpenVPN есть опция remote которую можно указывать несколько раз и также задать remote-random, тогда клиент будет цепляться к одному из серверов указанных в remote, только надо проверить что произойдет при обрыве связи, и все вроде готово.<br><br> https://opennet.me/openforum/vsluhforumID1/94667.html#5 Mon, 20 May 2013 07:15:21 GMT &gt;&gt;&gt; А если попробовать без TLS, а просто через статический ключ?<br>&gt;&gt;&gt; P.S.<br>&gt;&gt;&gt; а какой глубокий смысл в такой связке? Что в итоге хотели получить?<br>&gt;&gt; Статический ключ обязательно попробую, а смысл в такой связке это отказоустойчивость. Если <br>&gt;&gt; умрет одна машина- другая её заменит. Или я не правильно понял <br>&gt;&gt; назначение Heartbeat'a?<br>&gt; на машинах то что крутится (http/smtp/pop3/etc...) и зачем в этой связке openvpn? <br>&gt; P.S.<br>&gt; ну и не плохо бы конфиги openvpn увидеть <br><br>На машинах чтоит чистая CentOS 5(64 bit). Установлено только OpenVPN Heartbeat и rsync. Просто на предприятии используется OpenVPN. На данный момент OpenVPN сервер всего один и если вдруг он умрет то всем станет грустно, по этой причине я задумал сделать второй OpenVPN сервер и связать их Heartbeat'ом. <br><br>Все конфиги сейчас выложу в новом посте.<br> https://opennet.me/openforum/vsluhforumID1/94667.html#4 Sat, 18 May 2013 20:56:00 GMT &gt;&gt; А если попробовать без TLS, а просто через статический ключ?<br>&gt;&gt; P.S.<br>&gt;&gt; а какой глубокий смысл в такой связке? Что в итоге хотели получить?<br>&gt; Статический ключ обязательно попробую, а смысл в такой связке это отказоустойчивость. Если <br>&gt; умрет одна машина- другая её заменит. Или я не правильно понял <br>&gt; назначение Heartbeat'a?<br><br>на машинах то что крутится (http/smtp/pop3/etc...) и зачем в этой связке openvpn?<br><br>P.S.<br>ну и не плохо бы конфиги openvpn увидеть<br> https://opennet.me/openforum/vsluhforumID1/94667.html#3 Sat, 18 May 2013 20:12:32 GMT &gt; А если попробовать без TLS, а просто через статический ключ?<br>&gt; P.S.<br>&gt; а какой глубокий смысл в такой связке? Что в итоге хотели получить? <br><br>Статический ключ обязательно попробую, а смысл в такой связке это отказоустойчивость. Если умрет одна машина- другая её заменит. Или я не правильно понял назначение Heartbeat'a?<br><br> https://opennet.me/openforum/vsluhforumID1/94667.html#2 Sat, 18 May 2013 16:40:53 GMT &gt;[оверквотинг удален]<br>&gt; Sat May 18 17:55:05 2013 TLS Error: TLS handshake failed <br>&gt; Sat May 18 17:55:05 2013 SIGUSR1[soft,tls-error] received, process restarting <br>&gt; Sat May 18 17:55:07 2013 WARNING: No server certificate verification method has <br>&gt; been enabled....<br>&gt; И вот этого я понять не могу. Я пробросил из Мира порт <br>&gt; 10000 на виртуальный IP и могу заходить на свой Вебмин, что <br>&gt; говорит о том, что форвардинг на виртуальный IP работает. Но вот <br>&gt; OpenVPN не стартует и всё тут.<br>&gt; Если сделать форвардинг на Реальный IP (192.168.32.10) то ВПН запускается и работает. <br>&gt; Может есть идеи в какую сторону копать?<br><br>Настройки netfilter на второй ноде правильны? Что показывает netstat -apnu на первой ноде (когда она активна) и на второй (когда активна она)?<br>Вместо rsync можно использовать drbd - классная штука, рекомендую)<br><br><br><br> https://opennet.me/openforum/vsluhforumID1/94667.html#1 Sat, 18 May 2013 15:24:48 GMT А если попробовать без TLS, а просто через статический ключ?<br><br>P.S.<br>а какой глубокий смысл в такой связке? Что в итоге хотели получить?<br>