Roteamento de tráfego com conexões não confiáveis

10

Eu tenho um grupo de escritórios que estão todos conectados ao escritório principal por meio de links DSL na extremidade oposta para economizar custos. (Somos uma organização sem fins lucrativos, não pergunte)

Historicamente, tivemos problemas notáveis ​​com a conexão entre o ISP que lida com nossos sites remotos e o ISP que lida com as linhas T1 em que o OpenVPN é executado, portanto esses links costumam ser desativados.

A interface pública do servidor de email está na rede do 1º provedor, portanto funcionou muito bem, mas é muito mais lenta porque também é DSL.

Para resolver os problemas de falta de confiabilidade da rede upstream, eu escrevi um script que simplesmente modifica os registros DNS nos sites remotos para apontar para o IP interno se o túnel estiver ativo ou o IP público se o túnel VPN para o site principal estiver inativo.

Como posso fazer isso de uma maneira mais elegante que será instantânea (em vez dos meus scripts orientados a cron) e transparente para os usuários?

Edit: Offices: Ubuntu 9.10 Servidores LTSP executando vários Actiontecs e Motorola fornecidos pelo fornecedor e alguns com firewall Netgears e Linksys. Escritório principal: Quase 100% Linux (CentOS, neste caso) com vários firewalls da série Netgear FVS318 / 338 com firewalls individuais para cada IP em nosso / 27. (outro não pergunte, foi antes de eu chegar aqui)

vpn  routing  openvpn 
Magalhães
fonte
você pode fornecer detalhes dos sistemas operacionais envolvidos etc?
Zapto 27/01
Sheesh. Desculpa. Cérebro morto por ficar acordado a noite toda.
Magellan

Respostas:

3

O OpenVPN deve ser capaz de executar comandos na criação e no término de túneis. Em vez de executar esse trabalho em um cron, você pode ter o embaralhamento de registros DNS acionado por esses eventos. Depois, basta monitorar algo sobre o link não confiável para saber quando reiniciar o túnel da VPN.

MDMarra
fonte
1

Depende do seu orçamento. O IP SLA da Cisco (e definitivamente outros) faz exatamente isso. Aqui está um excelente ponto de partida

Você pode conseguir isso sem mais nada. Presumo que o DNS dos usuários aponte para o roteador do site remoto. No roteador do site remoto, você pode adicionar o DNS primário do seu primeiro provedor e o DNS secundário para o seu segundo provedor. Atualmente, a maioria dos roteadores é inteligente o suficiente para falhar no secundário quando o primário falhar.

EDIT: Para ser justo, dependendo do seu DSL, você pode encontrar um roteador Cisco usado a partir de US $ 60. Como os SLAs IP são suportados desde 12,3 (14) T

do utilizador
fonte
Sim, eles ainda não podem comprar equipamentos da Cisco. Talvez um dia eles descubram que comprar equipamentos da Cisco seja mais barato que um novo quadro de funcionários, mas ainda não descobriram isso.
Magalhães
E um +1 para o link cheio de coisas interessantes da Cisco para eu refletir.
Magellan
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.