Pregunta Enrutamiento de tráfico con conexiones no confiables


Tengo un grupo de oficinas que están conectadas a la oficina principal a través de enlaces DSL en el otro extremo para ahorrar costos. (Somos una organización sin fines de lucro, no preguntes)

Históricamente hemos tenido problemas notables con el enlace entre el ISP que maneja nuestros sitios remotos y el ISP que maneja las líneas T1 en las que se ejecuta OpenVPN, por lo que esos enlaces con frecuencia se caen.

La interfaz pública de nuestro servidor de correo está en la red del primer proveedor, por lo que funcionó bien, pero es mucho más lenta porque también es DSL.

Para solucionar los problemas de poca confiabilidad de la red ascendente, escribí un script que simplemente modifica los registros DNS en los sitios remotos para que apunten a la IP interna si el túnel está activo o la IP pública si el túnel VPN al sitio principal está inactivo.

¿Cómo puedo hacer esto de una manera más elegante que sea instantánea (en lugar de mis scripts controlados por cron) y transparente para los usuarios?

Editar: Oficinas remotas: servidores Ubuntu 9.10 LTSP que ejecutan varios Actiontecs y Motorola proporcionados por el proveedor y algunos con firewall Netgears y Linksys. Oficina principal: Casi el 100% de Linux (CentOS, en este caso) con varios firewalls de la serie Netgear FVS318 / 338 con firewalls individuales para cada IP en nuestro / 27. (otro no pregunta, fue antes de que llegara aquí)


10
2018-01-27 13:47


origen


¿Puede proporcionar detalles de los sistemas operativos involucrados, etc.? - Zapto
Sheesh Lo siento. Cerebro muerto por estar despierto toda la noche. - Magellan


Respuestas:


OpenVPN debe ser capaz de ejecutar comandos en la creación y terminación de túneles. En lugar de hacer que este trabajo se ejecute en un cron, puede hacer que la combinación de registros DNS se active por estos eventos. Luego, solo tiene que monitorear algo a través del enlace no confiable para saber cuándo reiniciar el túnel VPN.


3
2018-01-31 20:28





Depende de tu presupuesto. IP SLA de Cisco (y definitivamente otros) hace exactamente eso. Aquí hay un excelente punto de partida.

Es posible que puedas lograr eso sin nada más. Asumo que los DNS de sus usuarios apuntan al enrutador de su sitio remoto. En el enrutador de su sitio remoto, puede agregar el DNS primario de su primer proveedor y el DNS secundario para su segundo proveedor. La mayoría de los enrutadores en estos días son lo suficientemente inteligentes como para fallar al secundario una vez que el primario falla.

EDITAR: para ser justos, dependiendo de su DSL, puede encontrar un enrutador de Cisco usado desde $ 60.  Ya que IP SLA son compatibles desde 12.3 (14) T


1
2018-01-27 14:34



Sí, realmente no pueden permitirse el equipo de Cisco todavía. Tal vez algún día se den cuenta de que comprar equipos de Cisco es más barato que el nuevo personal, pero aún no lo han descubierto. - Magellan
Y un +1 para el enlace lleno de cosas interesantes de Cisco para que reflexione. - Magellan