Routing ruchu z nierzetelnymi połączeniami

10

Mam grupę biur, które wszystkie są podłączone do głównego biura za pośrednictwem łączy DSL na drugim końcu, aby obniżyć koszty. (Jesteśmy organizacją non-profit, nie pytaj)

Historycznie mieliśmy zauważalne problemy z połączeniem między ISP, który obsługuje nasze zdalne strony, a ISP, który obsługuje linie T1, na których działa nasz OpenVPN, więc te linki często się psują.

Publiczny interfejs naszego serwera pocztowego znajduje się w sieci pierwszego dostawcy, więc działał dobrze, ale działa znacznie wolniej, ponieważ jest to również DSL.

Aby rozwiązać problemy z niewiarygodnością sieci upstream, napisałem skrypt, który po prostu modyfikuje rekordy DNS w zdalnych witrynach, aby wskazywały na wewnętrzny adres IP, jeśli tunel jest w górę, lub publiczny adres IP, jeśli tunel VPN do głównej strony jest wyłączony.

Jak mogę to zrobić w bardziej elegancki sposób, który będzie natychmiastowy (zamiast moich skryptów opartych na cronie) i przezroczysty dla użytkowników?

Edycja: Biura zdalne: serwery Ubuntu 9.10 LTSP z różnymi dostarczonymi przez dostawców Actiontecs i Motorola oraz kilka z zaporą Netgears i Linksys. Biuro główne: prawie 100% Linux (w tym przypadku CentOS) z wieloma zaporami ogniowymi serii Netgear FVS318 / 338 z indywidualnymi zaporami ogniowymi dla każdego adresu IP w naszym / 27. (inny nie pytaj, to było zanim tu przybyłem)

vpn  routing  openvpn 
Magellan
źródło
czy możesz podać szczegóły dotyczące zaangażowanego systemu operacyjnego itp.?
Zapto
Do licha. Przepraszam. Mózg nie żyje przez całą noc.
Magellan,

Odpowiedzi:

3

OpenVPN powinien być w stanie wykonywać polecenia po utworzeniu i zakończeniu tuneli. Zamiast uruchamiać to zadanie w cronie, możesz włączyć tasowanie rekordów DNS przez te zdarzenia. Następnie musisz po prostu monitorować coś przez niewiarygodne łącze, aby wiedzieć, kiedy ponownie uruchomić tunel VPN.

MDMarra
źródło
1

To zależy od twojego budżetu. IP SLA firmy Cisco (i zdecydowanie inne) właśnie to robi. Oto doskonały punkt wyjścia

Możesz to zrobić bez niczego innego. Zakładam, że DNS użytkowników wskazuje na router zdalnej witryny. W routerze zdalnej witryny możesz dodać podstawowy DNS pierwszego dostawcy i dodatkowy DNS drugiego dostawcy. Większość routerów w dzisiejszych czasach jest na tyle sprytna, że ​​po awarii pierwszego z nich nie ma dostępu do drugiego.

EDYCJA: Aby być uczciwym w zależności od DSL, możesz znaleźć używany router cisco od 60 USD. Ponieważ IP SLA są obsługiwane od 12,3 (14) T

użytkownik
źródło
Tak, naprawdę nie stać ich jeszcze na sprzęt Cisco. Być może kiedyś odkryją, że zakup sprzętu Cisco jest tańszy niż nowe zatrudnienie, ale jeszcze tego nie wymyślili.
Magellan,
I +1 za link pełen interesujących rzeczy z Cisco, które mam rozważyć.
Magellan
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.