The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Резервный IPSec шлюз - нужен совет, !*! eviljester, 15-Мрт-14, 14:12  [смотреть все]
Дано:
Есть распределенная сеть магазинов. Локалки магазинов имеют примерно следующий вид - 192.168.1хх.0/24, где хх - номер магазина. Сетевым "центром" служит комбайн от Zyxel различных моделей (2plus, USG20, USG50 и др.)

А еще есть центральный офис со старой несегментированной сеткой 192.168.0.0/22, в которой находятся основные сервера, IP телефонная станция и пр.

Связь магазинов с офисом осуществляется посредством IPSec VPN каналов. Со стороны магазина канал образует Zyxel, а вот в офисе это либо сервер pfSense, либо CiscoASA 5520. Распределены каналы примерно поровну. И при необходимости (в основном из-за непонятных глюков) каналы перебрасываются туда-сюда. Однако такие переключения мне приходится делать "руками": указывать на zyxel-е магазина другой внешник в phase-1, удалять старый и добавлять новый маршрут на роутере локалки (Cisco3925).

Задача:
Настроить автоматическое переключение маршрута до сети магазина. То есть - куда подключается магазин, туда и указывает роутер офисной локалки.

Что пробовал:
Среди маршрутизаторов магазинов довольно часто встречается ZyxelUSG20, который умеет OSPF.
pfSense и ASA его тоже умеют, но я так понял, только посредством multicast-ов (есть исключение - http://xgu.ru/wiki/Cisco_ASA/OSPF_IPSec но это не мой случай). Мультикасты я так понял можно пустить по GRE-тонелю (КРУТО!), вот только ASA их не умеет делать.

Подскажите - есть ли альтернативное OSPF-у решение (может ip sla?).
Если надо - могу схемку прислать.

Ответить | Сообщить модератору
  • Резервный IPSec шлюз - нужен совет, !*! jabbson, 14:18 , 15-Мрт-14 (1)
    >[оверквотинг удален]
    > магазин, туда и указывает роутер офисной локалки.
    > Что пробовал:
    > Среди маршрутизаторов магазинов довольно часто встречается ZyxelUSG20, который умеет
    > OSPF.
    > pfSense и ASA его тоже умеют, но я так понял, только посредством
    > multicast-ов (есть исключение - http://xgu.ru/wiki/Cisco_ASA/OSPF_IPSec но это не мой
    > случай). Мультикасты я так понял можно пустить по GRE-тонелю (КРУТО!), вот
    > только ASA их не умеет делать.
    > Подскажите - есть ли альтернативное OSPF-у решение (может ip sla?).
    > Если надо - могу схемку прислать.

    можно держать оба канала в апе и получать маршруты с разной метрикой от двух хабов - главный упал - все пошло по резервному, вернулся главный - пошло через него все опять.

    Ответить | Сообщить модератору
    • Резервный IPSec шлюз - нужен совет, !*! eviljester, 17:30 , 15-Мрт-14 (2)
      Вариант рабочий, но недостаточный. Вы предлагаете увеличить число статических маршрутов вдвое (а это порядка 160 записей "руками"!). К тому же если у меня НИЧЕГО не упало, а магазин поменял-таки VPN-шлюз, это не сработает. Дело в том, что на Zyxel-ях магазинов можно помимо основного, прописать еще и "Redundant Remote Gateway" (внешник второго офисног VPN шлюза) - вот тогда переключение будет автоматическим и не всегда связанным с падением.

      Я спрашиваю о том, как максимально избавиться от ручной работы. Я скорее настрою sla с track-ами, но по крайней мере у меня всегда будет только один маршрут до сети магазина.

      Может есть какой-нибудь механизм типа helper-address, но только для OSPF-овских мультикастов? Тогда можно было бы вещать сети магазинов на ASA без GRE и прочих заморок.

      Ответить | Сообщить модератору
      • Резервный IPSec шлюз - нужен совет, !*! jabbson, 18:34 , 15-Мрт-14 (3)
        >[оверквотинг удален]
        > сработает. Дело в том, что на Zyxel-ях магазинов можно помимо основного,
        > прописать еще и "Redundant Remote Gateway" (внешник второго офисног VPN шлюза)
        > - вот тогда переключение будет автоматическим и не всегда связанным с
        > падением.
        > Я спрашиваю о том, как максимально избавиться от ручной работы. Я скорее
        > настрою sla с track-ами, но по крайней мере у меня всегда
        > будет только один маршрут до сети магазина.
        > Может есть какой-нибудь механизм типа helper-address, но только для OSPF-овских мультикастов?
        > Тогда можно было бы вещать сети магазинов на ASA без GRE
        > и прочих заморок.

        вовсе нет, я вообще за то, чтобы свести статические маршруты к минимуму - большая часть информации должна передаваться динамически.

        Ответить | Сообщить модератору
      • Резервный IPSec шлюз - нужен совет, !*! jabbson, 21:09 , 15-Мрт-14 (4)
        >[оверквотинг удален]
        > сработает. Дело в том, что на Zyxel-ях магазинов можно помимо основного,
        > прописать еще и "Redundant Remote Gateway" (внешник второго офисног VPN шлюза)
        > - вот тогда переключение будет автоматическим и не всегда связанным с
        > падением.
        > Я спрашиваю о том, как максимально избавиться от ручной работы. Я скорее
        > настрою sla с track-ами, но по крайней мере у меня всегда
        > будет только один маршрут до сети магазина.
        > Может есть какой-нибудь механизм типа helper-address, но только для OSPF-овских мультикастов?
        > Тогда можно было бы вещать сети магазинов на ASA без GRE
        > и прочих заморок.

        хотя да, согласен, без vti или gre это так или иначе превращается в ту еще головомойку.
        а провайдер один или разные везде?

        Ответить | Сообщить модератору
        • Резервный IPSec шлюз - нужен совет, !*! eviljester, 14:17 , 16-Мрт-14 (5)
          > а провайдер один или разные везде?

          со стороны магазинов процентов 40 это "билайн", еще 40 "энфорта", а оставшиеся это разные местные провайдеры типа "Наука-связь", "Таттелеком", и пр.

          со стороны офиса - два провайдера.

          а вы это к чему?
          попроасить прова что-нибудь придумать?

          Ответить | Сообщить модератору
          • Резервный IPSec шлюз - нужен совет, !*! jabbson, 16:59 , 16-Мрт-14 (6)
            >> а провайдер один или разные везде?
            > со стороны магазинов процентов 40 это "билайн", еще 40 "энфорта", а оставшиеся
            > это разные местные провайдеры типа "Наука-связь", "Таттелеком", и пр.
            > со стороны офиса - два провайдера.
            > а вы это к чему?
            > попроасить прова что-нибудь придумать?

            ну, если он не один, тут думай-не думаю, много не придумаешь :)
            Ваша задача решается, но не на том, оборудовании, что есть у Вас, у сожалению.

            Ответить | Сообщить модератору
            • Резервный IPSec шлюз - нужен совет, !*! vasla, 13:24 , 17-Мрт-14 (7)
              >>> а провайдер один или разные везде?
              >> со стороны магазинов процентов 40 это "билайн", еще 40 "энфорта", а оставшиеся
              >> это разные местные провайдеры типа "Наука-связь", "Таттелеком", и пр.
              >> со стороны офиса - два провайдера.
              >> а вы это к чему?
              >> попроасить прова что-нибудь придумать?
              > ну, если он не один, тут думай-не думаю, много не придумаешь :)
              > Ваша задача решается, но не на том, оборудовании, что есть у Вас,
              > у сожалению.

              Openvpn

              Ответить | Сообщить модератору
  • Резервный IPSec шлюз - нужен совет, !*! ShyLion, 07:42 , 21-Мрт-14 (9)
    > Дано:
    > Есть распределенная сеть магазинов.

    Чем торгуют магазины? Не поверю что нельзя потратить $600 на приличный Cisco 881 + AIS софт.

    Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру