<div>Hi,<br></div><div><br></div><div>I am currently trying around with getting strongswan HA to work on exoscale. Exoscale has no ClusterIP, but a so called "elastic ip" which I can move freely among my instances. I came up with a "proof of concept" on how this could work.<br></div><div>But I am unsure if my assumption about how strongswan HA really works are correct, so it would be very nicht of someone could enlighten or confirm me.<br></div><div><br></div><div>I have 2 strongswan instances (vpn1 & vpn2) in ha<br></div><div><br></div><div>* righsourceip is set to a common ha address pool<br></div><div>* I configured them to have 1 segment<br></div><div><br></div><div>I wrote a script that watches the output of "journactrl -u strongswan -f" for certain messages and manages the elastic ip.<br></div><div>The Idea is, that the ip is always assigned to the strongswan instance holding the segment.</div><div><br></div><div>The script notice that  vpn1 takes all segments. So it sets the elastic ip to vpn1.<br></div><div><br></div><div>I establish the connection from my local computer and ping a machine in the private network of  the vpn, it works.<br></div><div>On the instances vpn1 & vpn2 I can see the connection with "strongswan statusall"</div><div>* vpn1: ESTALISHED<br></div><div>* vpn2: PASSIVE</div><div><br></div><div>Now I test the failover:<br></div><div>1. I down all network interfaces of of vpn1<br></div><div>2. I shutdown vpn1<br></div><div>3. The script notices it and switches the elastic ip over to vpn2<br></div><div><br></div><div>Looking at "strongswan statusall" I see that the connection switches to "ESTABLISHED" on vpn2 immediately.<br></div><div>It takes about 60 seconds, than the ping starts to work again.<br></div><div><br></div><div>* Is this in principal the correct idea? Should strongswan work with this or am I doing something that will fail? Is it ok, that vpn2 does not get any traffic (as long as vpn1 is alive)?<br></div><div>* Is it normal, that it takes 60 seconds for the connection to resume, or should this be faster?<br></div><div>* Is there some better way I could watch which strongswan instance is holding the segment?<br></div><div>* Is there anyway I could dictate strongswan on which instance to hold the segment?</div><div><br></div><div>Thank you very much!<br></div><div>Nathan</div><div><br></div><div class="protonmail_signature_block"><div class="protonmail_signature_block-proton protonmail_signature_block-empty"><br></div></div><div><br></div>