VPN cluster controller IP

Hi, Jama, and welcome to the User BB!

When you say, "Cluster nodes are on different sites," I understand that you mean you have servers in two different sites that are clustered - correct?

"...cluster controller IP in Astaro which should be inside of VPN, but it can not authenticate it self?"  Could you explain that in a different way - I can't "see" what you want to do.

Cheers - Bob

Hi BAlfson, thank you for quick reaction and for welcome.

Yes, you understand well -- two different physical locations (for example location 1 is New York, location 2 is in Tokyo [:)] ) -> two different internal networks connected via VPN through Internet.

It should be DB cluster, so I'm not talking about about building VPN cluster - like two computers running VPN server on.
I understand that both nodes of my DB cluster has to be in VPN to see each other, so each one is connected over PPTP and has it's own static IP. 

So, for example node 1 IP is x.x.x.101 and node 2 has x.x.x.102 

Now, on each node is running keepalive daemon (cluster controller) which is taking care about availability of the service.
The thing about keepalive daemon is that you just tell it to listen on lets say x.x.x.103 IP and that's it (in non VPN environment)
But when I log both server into VPN, everything is working fine (i mean communication between nodes, replication of data etc.) except cluster controller.

How should I define the object in Astaro which tells that IP x.x.x.103 is part of PPTP pool network?

OK, so it seems you have servers in NY and Tokyo and an Astaro in a different location.  The servers communicate via a PPTP remote access connection to the Astaro.  Since you only have two nodes in your DB cluster, why not just have the keepalive daemon listen to the other node?

If the PPTP addresses are 10.242.2.102 and 10.242.2.103, you might need a route added to each server: 10.242.2.0 255.255.255.0 10.242.2.1

Cheers - Bob
PS This post originally had the following suggestion which I now think will work only when the PPTP tunnel is a "full" tunnel where both clients use the default gateway of the Astaro:

You might need a NAT rule like: 'VPN Pool (PPTP) -> Any -> VPN Pool (PPTP) : SNAT from Internal (Address)' {leave 'Source service' empty!}

I'd be interested to know if you need that rule, and also the result if you do need to try using the rule.

Hi again BAlfson and thanks for your replay,

as you said, both servers are "fully" connected to Astaro via PPTP tunnel thru ppp0 device.
They both have VPN Pool (PPTP) IP (10.242.1.101 and 10.242.1.102) and both have added entry into the route table. 
In this moment Astaro gateway is realy in different location (after some time there will be one Astaro in front of each node)

Whole "remote" cluster will serve just VPN clients, so from my point of view keepalive daemon should have VPN IP like 10.242.1.103. Thats also needed in case if one location is not available (connection problems, HW failure etc.). In this case node2 is handovering Cluster Controller IP from node1 and becouse I don't have control over the second location internal network, I can not use other than VPN Pool (PPTP) IP. 

So in fact it can not be internal network IP which is acting like VPN Pool (PPTP) IP, like I thought and wrote before.

I tried your suggestion, but it didn't work for me:
'VPN Pool (PPTP) -> Any -> VPN Pool (PPTP) : SNAT from ClusterController (Address)'

Can I define host like 'VPN Controller' - 10.242.1.103 and tell Astaro to give that address to specific host if it will ask for it, or do I have to make special external DHCP server, where I will define it?

Whole "remote" cluster will serve just VPN clients

Can I define host like 'VPN Controller' - 10.242.1.103 and tell Astaro to give that address to specific host if it will ask for it, or do I have to make special external DHCP server, where I will define it?

I think I'm confused again.  If the users are all connected via PPTP VPN to the Astaro, how will you prevent duplicate addresses?  Are you using the option to define users with fixed remote IP assignments?

Cheers - Bob

yes, I do... everybody connected via PPTP has static IP, pity it's not working with SSL as well. [:(] 

Well, I know it may sound confusing, but the question is simple...

When anybody wants to be in VPN, he has to 'log in' (at least username and passwd), right?
So is there any way, how can I assign VPN Pool (PPTP) IP to the cluster controller (keepalive daemon)? Because it can not authenticate it self (it can not log in with username and passwd).

If you know any other solution of this situation, I'll be glad to here it. I just need to have whole cluster inside of VPN.

PS: The thing about external DHCP server was just idea...

Thank you
Jarek

The real answer will be an IPsec site-to-site tunnel between the two Astaros when they're in place between the two servers.  

I think I'm confused about the "cluster controller" and the keepalive daemon running in each server.  Why not just put an additional IP on the ethernet port of one of the servers?

Cheers - Bob

Well, actualy keepalive daemon is cluster controller.
It was working like this, when it was not in VPN:
Node1 - IP 192.168.100.101
Node2 - IP 192.168.100.102
Cluster controller IP 192.168.100.103

Clients were comunicateing with IP 192.168.100.103 and this IP was decideing wher to send the request. 

Actually both nodes were 192.168.100.103, but just one was visible under this IP (Master).
keepalive daemons (cluster controllers) on both nodes are talking to each other and when node2 do not receive answer from node1, he just "rise his hand" and "shout out loud" I'm the 192.168.100.103 now.

And as I said before, think about setting up the keepalive daemon is that you just set up the network, IP and device on which it will listen and it just "suck" on that device and actualy the node has 2 IP's from that moment.

Thats how it works without the VPN, and what I need is make it work inside of VPN, becouse of locations, security etc. So all the comunication should go thru ppp0 device.


Yes... solution is put Astaro in front of each node ... will solve a lot.
But as I said... It's in plan, but it depends on more things and it will take few months to manage it.
I'll be glad for some solution for this moment.

Thanks, I think I understand now.  Let me repeat in different words to confirm.  The database cluster has a published address of .103 which is the one the users use.  The servers communicate with eachother via "private" IPs .101 and .102.

You call this a "cluster" of servers, but your description makes it sound like the second server only answers requests when the first server is unavailable; are they in "hot failover" mode, or are both servers answering DB requests?  If it's failover, then you might want to use an availability group definition instead of the following.

Why not set the cluster controller's IP to something meaningless, then go to 'Network Security >> Server Load Balancing' and create a load balancer with the .103 address and containing the .101 and .102 servers?  Now, the servers will be able to share the load when both are functional.

Will that work for you?

Cheers - Bob