VPN туннель с резервированием каналов

[RedBeard]

Если честно, то у меня там каскадное включение двух роутеров, если чего...

А, так все-таки 2 роутера потребуются в каждом офисе?

P.S. Схему сети в шапку добавил.

Не обязательно! Просто, локальный слишком дорог, а второй (Йота) менее надёжен. Вот и переподключаемся иногда... Переподключение идёт на уровне второго роутера, поэтому юзеры обычно этого вообще не замечают. А VPN у нас - через Тимвьюер, поэтому юзеры и там переподключения не замечают. Подумаешь, маршрутизация поменялась!

[Yozhik]

я как-то поднимал два тунеля сразу,
соответственно по 2 маршрута с разными метриками на каждом шлюзе.
.....
еще можно поднять 1 канал, но в настройках указать 2 IP сервера
и в дополнение прописать соответственно по 2 маршрута к нему с разной метрикой
в случае проблемы с каналом связи - произойдет разрыв ВПН, и он тут-же попробует переконектиться...

remote server1.mydomain
remote server2.mydomain

Я правильно понимаю, что в основном офисе надо на каждый канал по одному OpenVPN-серверу на разных машинках повесить?
А в дополнительном можно одним обойтись?

[AnrDaemon]

Зачем на разных машинах?... /facepalm

[ArcFi]

Yozhik, ещё раз, вот 2 варианта:
1) Round robin DNS — метод резервирования / балансировки нагрузки, когда на одно имя вешается 2 IP, реализуется средствами DNS-сервера или через /etc/hosts на стороне клиента
2) несколько параметров remote в конфиге openvpn

Я правильно понимаю, что в основном офисе надо на каждый канал по одному OpenVPN-серверу на разных машинках повесить?

Нет, вам достаточно одного серсиса с ролью сервера.

[thunderamur]

2 канала на стороне сервера OpenVPN. По умолчанию работает основной. Если, упал - включается запасной. OpenVPN-клиенты знают оба адреса и подключаются по запасному, если основной не отвечает. Заработал основной, клиенты вернулись обратно.

Жизнеспособно?

Думаю, будет задержка около минуты пока vpn восстановится.
Кроме того, запуск скриптов, переключающих каналы, пока осуществляется руками (но это отдельный, решаемый вопрос).

[ArcFi]

Думаю, будет задержка около минуты пока vpn восстановится.

Задержку, вроде как, можно потюнить через keepalive.

[Yozhik]

2) несколько параметров remote в конфиге openvpn

2 канала на стороне сервера OpenVPN. По умолчанию работает основной. Если, упал - включается запасной. OpenVPN-клиенты знают оба адреса и подключаются по запасному, если основной не отвечает. Заработал основной, клиенты вернулись обратно.

Значит на сервере OpenVPN (он же шлюз) будет по 2 WAN интерфейса. И сразу добавляем маршрут по умолчанию через 2-го провайдера с большей метрикой, типа:
route add default gw 22.22.22.21 dev eth2 metric 200
(Дефолтный маршрут через eth1 со шлюзом 11.11.11.11 и метрикой 100 у нас уже есть)
Также в iptables разрешаем NAT для второго (резервного) провайдера:
iptables -t nat -A -o eth2 -j SNAT --to-source IP2

Тут все верно? Нужно ли скрипт какой писать или так можно оставить?

Далее, если первый провайдер отваливается, трафик наружу начинает идти через 2-го прова. OpenVPN сервер считает туннель развалившимся через минуту (keepalive 10 60) и готов принимать подключения по IP2 (IP второго провайдера)
Соответственно у клиента в конфиге написано:
remote IP1
remote IP2
При пропадании связи с сервером, клиент снова пытается подключиться по IP1, после неудачи подключается по IP2
(пока рассматриваем вариант с одним интернет-подключением со стороны клиента)

Если все вышеизложенное верно, то остается настроить переключение на резервного провайдера на стороне клиента.

[ArcFi]

Вроде, для 2-х шлюзов надо так:
http://anr-daemon.livejournal.com/1655.html

[Yozhik]

Вроде, для 2-х шлюзов надо так:
http://anr-daemon.livejournal.com/1655.html

Чего-то не хочется мне заниматься маркировкой пакетов в iptables. Да и балансировку нагрузки делать не обязательно. Второй провайдер будет использоваться когда не работает первый.

[ArcFi]

Тогда просто используете watchdog-скрипт для переключения дефолтного шлюза.
Соответственно, одновременно будет работать только по одному IP.

[AnrDaemon]

Вроде, для 2-х шлюзов надо так:
http://anr-daemon.livejournal.com/1655.html

Чего-то не хочется мне заниматься маркировкой пакетов в iptables.

А где вам хочется заниматься маркировкой?...

Да и балансировку нагрузки делать не обязательно. Второй провайдер будет использоваться когда не работает первый.

Кто-то что-то говорил о балансировке? O.o Где?

[nucleon]

если задержка не важна, то 2-й вариант конечно предпочтительнее
т.е.
указываем в настройках всех клиентов
remote x.x.x.x
remote y.y.y.y
где x.x.x.x и y.y.y.y - адреса сервера


но в первом варианте, было решение для случаев, когда задержка критична.
в этом случае я предлагаю поднимать на сервере и клиенте по 2 канала, каждый на своем IP.
в этом случае переключение каналов будет за счет метрики и будет практически мгновенным.
соответствено конфигураций будет две и в каждой свой remote ip.

кстати есть еще и третий вариант
запихать OpenVPN в OVZ контейнер, и собрать сервисный кластер на основе Corosinc или Hearbert
а чтобы все синхронизировалось использовать что-то вроде rsync

последний вариант мега крут тем, что смерть одной железки из кластера, не остановит работу больше чем на несколько секунд.

[Yozhik]

но в первом варианте, было решение для случаев, когда задержка критична.
в этом случае я предлагаю поднимать на сервере и клиенте по 2 канала, каждый на своем IP.
в этом случае переключение каналов будет за счет метрики и будет практически мгновенным.
соответствено конфигураций будет две и в каждой свой remote ip.

Т.е. в этом случае нужно два экземпляра openvpn на сервере (с разными: конфигами, подсетями и портом). И два процесса на клиенте? И в штатном режиме, когда доступен основной провайдер, трафик идет только по основному каналу (туннелю)?