Как подключить клиента openvpn, не меняя конфиг клиента, по очереди к разным опенвпн серверам?

Question

[miruss]

есть 3 сервере, два из них опенвпн, на третьем лежат сертификаты от это двух впн серверов,
запущены два опенвпн сервера, вот клиент подключился к одному впн серверу, потом захотел подключится к другому опенвпн серверу. Вопрос как сделать это не меняя конфиг клиента? как сделать такое переключение?

Answer 1

[miruss]

клиенту? давать несколько файлов? не подходит, надо чтобы какой то сервер перенаправлял клиента, чтобы клиент не трогал конфиг.

Answer 2

[Клёвый Админ]

DNS Round Robin или на уровне файрвола менять маппинг портов \ выставление серверов в DMZ.

Comments

[miruss]

DNS RR он разве не 50%50 балансирует?

[Клёвый Админ]

@miruss можно менять короткую запись ДНС на нужный хост, по идее тогда все плавно переключаться на новый, при следующем подключении. Вариант с файром - резкое переключение.

[miruss]

@ifaustrue а вариант с фаером какой? и клиент какой ip будет видеть?

[Клёвый Админ]

@miruss у вас впн сервер выставлен либо через NAT либо через DMZ, вот в первом случае просто берёте и меняете узел назначения проброса портов, у клиента ничего не меняется. В случае с DMZ берёте и меняете IP у серверов, скриптом, одновременно, или на файрволе VLAN до двух серверов (с одинаковым IP) один VLAN выключаете другой включаете и получается резкое переключение.

Получается что у клиента просто рвутся сессии и он (клиентское приложение) будет думать что просто пропал интернет и переустановит подключение. В случае с NAT помягче будет, но все равно с обрывом.
Если маршрутизатор совсем умный (думаю на iptables можно), то можно правила нат так изменить, что бы только новые сессии полетели на новый узел, тогда обрыв будет совсем плавный.

[miruss]

@ifaustrue ну надо скорее всего через днс, потому что клиент должен видить что вход поменялся, в случае нат и дмз ип у клиента для подключения будет будет один и тот же, получается будет большая нагрузка на принимающий серв

[Клёвый Админ]

@miruss я тогда не понял, если вам нужна балансировка это одно - тут и ДНС и НАТ подходят, только в случае ДНС сложнее балансировать но тоже можно (Например если нужно 66 на 33 разделить, то три записи в ДНС две для одного серва, одна для другого), если вам нужно переводить на другой серв для мейнтейнса или ещё чего, то в принципе опять же и ДНС и НАТ справятся (только последний с лагом обновления записи) =)

[miruss]

@ifaustrue мне не именно балансировка надо, мне надо чтобы клиент сам, смог переключится через веб панель, но скорее всего просто сделаю как в первом коменте, сгенерить новый конф.

[Клёвый Админ]

ну ок =) надеюсь помог.

[miruss]

спасибо =)