VPN туннель с резервированием каналов

[Yozhik]

Здравствуйте!

Имеется 2 офиса в разных городах. Подсети этих офисов объединены посредством OpenVPN. В одном офисе стоит шлюз с Ubuntu Server, он же является OpenVPN-сервером. Во втором тоже машинка с Ubuntu Server в качестве клиента. Каждый офис имеет выход в интернет только через одного провайдера.
На данный момент дополнительно в каждом офисе проводится резервный канал в интернет через другого провайдера.
Требуется обеспечить бесперебойное взаимодействие офисов, не зависящее от наличия линка до одного из провайдеров при условии сохранения VPN-туннеля.
Подскажите, как это можно реализовать? Если потребуется, можно выделить еще пару компов под это дело.

Схема существующей сети во вложенном pdf-файле

Благодарю заранее за дельные советы.

[nucleon]

Ну, на мой взгляд, есть 2 пути
1)  2-а независимых канала + скрипты.
скрипты определяют, что работает, ну допустим на основе пингов, и перестраивают маршруты в зависимости от проблем с каналом.
2) просто маршруты (метрики)

в обоих случаях есть свои нюансы.
более простым, мне кажется использование маршрутов...

[Yozhik]

более простым, мне кажется использование маршрутов...

А поподробнее можно?

Бывают ситуации, что отсутствует связь с провайдером, а бывает, что оборудование провайдера глючит, то включается, то выключается. Это может быть из-за проблем в электрической сети например. Как быть в этом случае?

[AnrDaemon]

Если связи просто нет, меняете системный маршрут по умолчанию на другого провайдера. Канал VPN поднимается сам.
Если связь то есть, то нет - компостируете мозги провайдеру, пока она либо не появится, либо не пропадёт окончательно. Маршрут временно меняете вручную.

[Yozhik]

Если связи просто нет, меняете системный маршрут по умолчанию на другого провайдера. Канал VPN поднимается сам.
Если связь то есть, то нет - компостируете мозги провайдеру, пока она либо не появится, либо не пропадёт окончательно. Маршрут временно меняете вручную.

Вручную не вариант. Чтобы его сменить, необходимо подключение к интернету, а его - нет.

[AnrDaemon]

Бред. В удалённом офисе обязательно должен быть сотрудник, достаточно компетентный, чтобы под диктовку по телефону проделать необходимые манипуляции, и ничего при этом не сломать. Это как минимум.

[fisher74]

Твоими бы устами...

[RedBeard]

Если связи просто нет, меняете системный маршрут по умолчанию на другого провайдера. Канал VPN поднимается сам.
Если связь то есть, то нет - компостируете мозги провайдеру, пока она либо не появится, либо не пропадёт окончательно. Маршрут временно меняете вручную.

Я так тоже сделал у себя в конторе. А VPN - он независим от роутинга!

[Yozhik]

Если связи просто нет, меняете системный маршрут по умолчанию на другого провайдера. Канал VPN поднимается сам.
Если связь то есть, то нет - компостируете мозги провайдеру, пока она либо не появится, либо не пропадёт окончательно. Маршрут временно меняете вручную.

Я так тоже сделал у себя в конторе. А VPN - он независим от роутинга!

Это в удаленном офисе, а в основном-то тоже 2 провайдера. Так что 2 туннеля поднимать сразу?

[RedBeard]

Нет! Один на оба канала. Или Тимвюер ни разу не юзал? Там своя VPN есть! Тимвьюер - это просто к примеру.

[Yozhik]

Нет! Один на оба канала. Или Тимвюер ни разу не юзал? Там своя VPN есть!

Чего-то я не догоняю. Если в основном офисе 2 провайдера и адреса, допустим IP1 и IP2 (за ними соответственно OpenVPN-сервер), а в дополнительном IP3 и IP4 (за ними - OpenVPN-клиент), то как клиент одновременно поднимет ОДИН туннель до 2-х IP (IP1 и IP2)? Прошу прощения, но знаний у меня маленько не хватает

[RedBeard]

А, вот так? Ну, вроде бы, тут обсуждали: http://www.linux.org.ru/forum/admin/8373871
Пользователь решил продолжить мысль 24 Июля 2013, 15:31:36:Если честно, то у меня там каскадное включение двух роутеров, если чего...

[Yozhik]

Если честно, то у меня там каскадное включение двух роутеров, если чего...

А, так все-таки 2 роутера потребуются в каждом офисе?

P.S. Схему сети в шапку добавил.

[ArcFi]

1) Round robin DNS

2)

remote server1.mydomain
remote server2.mydomain

Не работает что ли?

***

Твоими бы устами...

(Нажмите, чтобы показать/скрыть)

Есть такая беда...
В прошлом году был косяк с сетью и непонятками со стороны удалённого провайдера, так что пришлось организовывать канал до сервера через GSM-модем + TeamViewer + Putty, чтобы разобраться с обратной стороны. =)

[nucleon]

если не брать скриптовые методы ...
я как-то поднимал два тунеля сразу,
соответственно по 2 маршрута с разными метриками на каждом шлюзе.
если падает 1 канал, то трафик бежит через второй. при большой загрузки канала это вообще не заметно.
только у меня еще интерфейсы был объединены и по 2 IP висело на виртуальном интерфейсе.

у способа есть на мой взгляд только 1 существенный недостаток - сложно отследить момент появления проблемы.
из плюсов:
если у провайдера идет "дребезг" т.е. канал то есть, то нет - то два канала, это выход.
потому, как если проблема у одного провайдера (допустим у основного) пропадает связь - то ВПН-канал прервется, но из-за метрики трафик пойдет сразу же по второму каналу... что как-бы в нашем случае хорошо.


еще на некоторых *nix  системах, раньше была возможность программно агрегировать виртуальные интерфейсы,
это вообще крутотень, ибо работает даже быстрее чем метрики.

еще можно поднять 1 канал, но в настройках указать 2 IP сервера
и в дополнение прописать соответственно по 2 маршрута к нему с разной метрикой
в случае проблемы с каналом связи - произойдет разрыв ВПН, и он тут-же попробует переконектиться...

ну этот способ мне не нравиться, уж слишком долгое переключение... пока переподключится.
зато по логам сразу видно что стряслось...