BGP+VPN или резервный выход в интернет с использованием VPN на маршрутизаторе

[Xdream]

Доброго времени суток.
На данный момент решаю проблему наиболее "правильной" организации резервного канала интернета для соединения по VPN Ubuntu<->Win2k3.
Моя ситуация:
имеется 2 офиса
1-офис : Win2K3+ISA; сервер имеет готовые подсети на локальной сети (допустим 192.168.ххх.ххх, и тп) и белый IP на внешнем сетевом устройстве.
2-офис : Ubuntu 9.10(не принципиально desktop или server); с 2 интерфейсами, соответсвенно с белым IP и локальной сетью (допустим 192.168.yyy.yyy).
 В нашей организации 2 сисадмина, я занимаю 2 должность вспомогательного администратора можно сказать ученика, занимаюсь разработкой удешевления программного обеспечения и внедрения его. В основном на вооружения взято свободное ПО и ОС на их основе, по понятным причинам. Мне была поставлена задача организация "2-офиса" на бесплатном ПО, организация тонких клиентов на том старье что имеем как говориться, которые должны ходить на Win2K терминал "1-офиса" (Руководитель сисадмин по MSWin), обеспечение безопасности трафика между 1 и 2 офисом на основе VPN. Докупка дополнительного оборудования соответственно "не предусмотрена". Изменения и перенастройки на сервере в "1-офисе" должны быть минимальны.
 Для "2-офиса" пока на стадии тестирования машина с Ubuntu 9.10 c настроенными LTSP (DHCP, TFTPD), PPTPD, маршрутизация и файрвол (iptables), доработки по мелочи конечно еще остались))).
 Недавно к этому добавилась настройка резервного интернет канала на "2-офисе" с сохранением соответственно VNP, т.е. при падении основного канала интернет мы должны автоматически перейти на резервный (соответственно провайдер другой), весь трафик до "1-офиса" также продолжает идти по VPN. Если по прошествии N-количества времени основной канал для интернет поднимется соответственно автоматически начинаем работать с ним и перестаем посылать пакеты по резервному.
Пользователь решил продолжить мысль 13 Января 2010, 01:49:19:Почему то, не все поместилось...
 Собственно вопрос с помощь каких средств желательно организовать динамическую маршрутизацию между 2 каналами в интернет с сохранением VPN или его пробросом на 2 канал незаметно для самого VPN? Из того что я нашел в интернете склоняюсь к мысли настройки IPSec и BGP, но сомневаюсь в правильности своего выбора. Да и конечно бы хотелось использовать пакеты для организации с репозитариев Ubuntu, для меньшей головной боли (надеюсь понятно почему).
Возможно у кого то есть готовые решения ? Поделитесь пожалуйста здесь или хотя бы назовите с помощью чего было бы наиболее лучше реализовать это.
 Заранее спасибо.

[AnrDaemon]

Keyword: iproute2
Форма поиска вверху слева.

[Xdream]

Спс за ответ гуру AnrDeamon!!! Очень информативно, пойду почитаю еще)))
 Собственно вопрос остался тем же просьба поделиться своими решениями, шифрованного канала между 2 провайдерами, резервным и основным!!!
То бишь весь трафик идет по 1 провайдеру, если он отваливается, то трафик идет по 2 провайдеру, причем весь трафик идет шифрованным постоянно!!!
 По маршрутизации - постоянно проверяется есть ли соединение и если 1 провайдер поднялся происходит переключение снова на 1 провайдера, а трафик по 1 провайдеру прекращается.
Заранее прошу меня простить, если мне не удается выразить свою мысль более ясно. Меня интересуют метода реализации динамического - шифрованного трафика, вернее как вы их реализовывали.

[AnrDaemon]

У тебя с чтением проблемы? Тебе сказали, что искать, и где искать.
Что НЕ понятно из того, что вылезло в результатах поиска?

[yuristep]

2 AnrDaemon :
... ну все-таки можно было-бы и не так резко ...
2 Xdream :
На самом деле Вам дали совершенно правильный ответ - за всю маршрутизацию в Ubuntuх отвечает пакет iproute2. Вам, как выполняющему роль "вспомогательного администратора можно сказать ученика" - лично я ОЧЕНЬ рекомендовал бы проштудировать документацию по данному пакету - и сразу появится понимание что и как нужно сделать, дабы решить поставленную задачу. А уже в процессе решения, с конкретными вопросами и непониманием "частных деталей процесса" - задавать вопросы... Иначе это называется - сделайте за меня всю мою работу ... Хотя - опубликуйте здесь ip, login&password на ваши сервера - глядишь, может кто за Вас и настроит

[Tokh]

На данный момент решаю проблему наиболее "правильной" организации резервного канала интернета для соединения по VPN Ubuntu<->Win2k3.

Разрешите выступить концептуально. ИМХО комфортнее всего "сшивать" Linux<->Linux. Т.е. выделить Win2k3 как не шлюзовую, как некий сервер в локалке. Шлюзы на opensource. Причём можно сделать:
(внутри офиса 192.168.0.0/24) локалка с клиентами и шлюзом Вин2к (наружу 10.0.0.0/30) <---> (внутрь к офису 10.0.0.0/30) DMZ со шлюзом Линукс (наружу к пров-у w.x.y.z/a) <---> ( к офису w.x.y.z/a) провайдер.

Минимальная DMZ со шлюзом Линукс - это единственный компьютер пара сетевых карт и пара патчкордов. Один патч в сторону Вин2К, второй в сторону провайдера. Это может удешевить стыковку opensource и проприетарного. При перспективе отказа от Вин.

Шифрованный канал, опять же, это принципиальная инфа, состоит из двух частей. Одна часть - механизм организации TCP/IP соединения, или иной способ передачи данных, шифрование. Другая часть - аутентификация и ключи для шифрования. Эта другая часть - это создание системы (инфраструктуры) пар закрытых-открытых ключей. Могут быть другие системы, но открытый-закрытый ключ популярное решение.

В Вин обе части сшиты в единое, да ещё единой с самой ОС. Под Линукс есть пакет OpenSSL - непочатый край изучения информации о PKI и т.п. OpenSSL это средство для создания и использования сертификатов-ключей.

Возвращаясь к "среде передачи" - IPSec есть, OpenVPN есть. Есть библиотека http://www.opennet.ru

Потребуется решить, где центральный сервер. На каком сервере будут обслуживаться (создание новых, отзыв старых) сертификатов, а это выбор под какую ОС выбирать софт.

Проще VPN канал поднимать между шлюзами - всё необходимое для создания защищённого канала находится на шлюзах, у клиентов нет никаких ключей, клиенты обращаются по какому-то адресу, а шлюз уже направляет их трафик в защищённый канал. Этих howto'шек довольно много. Защищённый канал может выглядеть как отдельный виртуальный сетевой интерфейс на шлюзе, типа "волшебный" кабель сразу в другой офис.

Тема резервного провайдера решается через маршрутизацию. Через маршруты же клиентский трафик отправляется в шифрованный канал на шлюзе. Не знаю как механизмы OpenVPN реагируют на автоматическую смену маршрутов, может быть понадобится простенький скрипт, например, если администратором VPN привязана к IP адресам.

Итак - резервный канал и VPN разные темы. Изучать отдельно. Потом совместить.

[Xdream]

Спс всем за участие. Спс за совет почитать отдельно маршрутизацию, но интересует не только маршрутизация.  Видимо у меня не получается выразить свою мысль, хотя "Somewhere there out there" понял правильно нужно : "Итак - резервный канал и VPN разные темы. Изучать отдельно. Потом совместить." Интересует слово "совместить".
Как правильно их совместить (желательно в среде win-lin).

PS Прошу прощения, если ввел вас в заблуждение предыдущими постами.