Enrutamiento de tráfico con conexiones poco confiables

10

Tengo un grupo de oficinas que están conectadas a la oficina principal a través de enlaces DSL en el otro extremo para ahorrar costos. (Somos una organización sin fines de lucro, no preguntes)

Históricamente hemos tenido problemas notables con el enlace entre el ISP que maneja nuestros sitios remotos y el ISP que maneja las líneas T1 en las que se ejecuta nuestro OpenVPN, por lo que esos enlaces con frecuencia se caen.

La interfaz pública de nuestro servidor de correo está en la red del primer proveedor, por lo que funcionó bien, pero es mucho más lenta porque también es DSL.

Para abordar los problemas de falta de confiabilidad de la red aguas arriba, escribí un script que simplemente modifica los registros DNS en los sitios remotos para apuntar a la IP interna si el túnel está activo o la IP pública si el túnel VPN al sitio principal está inactivo.

¿Cómo puedo hacer esto de una manera más elegante que sea instantánea (en lugar de mis scripts basados ​​en cron) y transparente para los usuarios?

Editar: Oficinas remotas: servidores Ubuntu 9.10 LTSP que ejecutan varios Actiontecs y Motorola proporcionados por el proveedor y algunos con el firewall Netgears y Linksys. Oficina principal: Casi 100% Linux (CentOS, en este caso) con múltiples firewalls Netgear FVS318 / 338 series con firewalls individuales para cada IP en nuestro / 27. (otro no pregunte, fue antes de llegar aquí)

vpn  routing  openvpn 
Magallanes
fuente
¿Puede proporcionar detalles de los sistemas operativos involucrados, etc.?
Zapto
Sheesh Lo siento. Cerebro muerto por estar despierto toda la noche.
Magellan

Respuestas:

3

OpenVPN debería poder ejecutar comandos tras la creación y terminación de túneles. En lugar de ejecutar este trabajo en un cron, puede hacer que estos eventos activen la combinación aleatoria de registros DNS. Luego, solo tiene que monitorear algo a través del enlace poco confiable para saber cuándo reiniciar el túnel VPN.

MDMarra
fuente
1

Depende de tu presupuesto. IP SLA by Cisco (y definitivamente otros) hace exactamente eso. Aquí hay un excelente punto de partida

Es posible que puedas lograrlo sin nada más. Supongo que sus usuarios DNS apuntan al enrutador de su sitio remoto. En el enrutador de su sitio remoto, puede agregar el DNS primario de su primer proveedor y el DNS secundario para su segundo proveedor. La mayoría de los enrutadores en estos días son lo suficientemente inteligentes como para fallar al secundario una vez que falla el primario.

EDITAR: para ser justos, dependiendo de su DSL, puede encontrar un enrutador Cisco usado desde $ 60. Desde IP SLA son compatibles desde 12.3 (14) T

usuario
fuente
Sí, todavía no pueden pagar el equipo de Cisco. Quizás algún día descubran que comprar equipo Cisco es más barato que la nueva plantilla, pero aún no lo han descubierto.
Magellan
Y un +1 para el enlace lleno de cosas interesantes de Cisco para que reflexione.
Magellan
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.