Instradamento del traffico con connessioni inaffidabili

10

Ho un gruppo di uffici che sono tutti collegati all'ufficio principale tramite collegamenti DSL in fondo per risparmiare sui costi. (Siamo senza scopo di lucro, non chiedere)

Storicamente abbiamo avuto notevoli problemi con il collegamento tra l'ISP che gestisce i nostri siti remoti e l'ISP che gestisce le linee T1 su cui viene eseguito OpenVPN, quindi tali collegamenti spesso si interrompono.

L'interfaccia pubblica del nostro server di posta è sulla rete del primo provider, quindi ha funzionato bene, ma è molto più lenta perché è anche DSL.

Per risolvere i problemi di inaffidabilità della rete upstream, avevo scritto uno script che modifica semplicemente i record DNS sui siti remoti per indicare l'IP interno se il tunnel è attivo o l'IP pubblico se il tunnel VPN al sito principale non è attivo.

Come posso farlo in un modo più elegante che sarà istantaneo (invece dei miei script basati su cron) e trasparente per gli utenti?

Modifica: Uffici remoti: server Ubuntu 9.10 LTSP che eseguono vari Actiontecs e Motorola forniti dal fornitore e alcuni con firewall Netgears e Linksys. Sede principale: quasi 100% Linux (CentOS, in questo caso) con più firewall Netgear serie FVS318 / 338 con firewall individuali per ogni IP sul nostro / 27. (un altro non chiedere, era prima che arrivassi qui)

vpn  routing  openvpn 
Magellan
fonte
puoi fornire dettagli sui sistemi operativi coinvolti ecc.?
Zapto,
Sheesh. Scusate. Cervello morto per essere stato sveglio tutta la notte.
Magellan,

Risposte:

3

OpenVPN dovrebbe essere in grado di eseguire comandi al momento della creazione e della chiusura dei tunnel. Invece di eseguire questo lavoro in un cron, è possibile che il shuffling del record DNS sia attivato da questi eventi. Quindi, devi solo monitorare qualcosa sul link inaffidabile per sapere quando riavviare il tunnel VPN.

MDMarra
fonte
1

Dipende dal tuo budget. IP SLA di Cisco (e sicuramente altri) fa esattamente questo. Ecco un ottimo punto di partenza

Potresti riuscire a farlo senza nient'altro. Presumo che il DNS degli utenti punti al router del tuo sito remoto. Nel router del tuo sito remoto puoi aggiungere il DNS primario del tuo primo fornitore e il DNS secondario per il tuo secondo fornitore. La maggior parte dei router in questi giorni sono abbastanza intelligenti da fallire con il secondario quando il primario fallisce.

EDIT: Per essere onesti a seconda del tuo DSL potresti trovare un router Cisco usato da $ 60. Poiché gli SLA IP sono supportati dalla 12.3 (14) T

utente
fonte
Sì, non possono ancora permettersi le apparecchiature Cisco. Forse un giorno scopriranno che acquistare l'attrezzatura Cisco è più economico del nuovo personale, ma non l'hanno ancora capito.
Magellan,
E un +1 per il link pieno di cose interessanti di Cisco su cui riflettere.
Magellan,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.