Ajuda com Redundancia de VPN

243 views
Skip to first unread message

Renato Rudnicki

unread,
Sep 21, 2009, 3:23:36 PM9/21/09
to Tche...@googlegroups.com
Ola pessoal.

Nao tenho um conhecimento muito aprofundado sobre vpn, e por isso preciso da ajuda de voces.

Tenho o Seguinte cenário:

Possuo uma matriz com 2 links de ip fixo.
Possuo algumas filiais com ip fixo, e outras com ip dinamico

Agora segue as dúvidas:

1 - Gostaria de saber se tem como OpenVPN (ou outra solução linux) trabalhar com os ip's fixos e dinâmicos das filiais.

2 - Existe a possibilidade de fazer redundancia das VPN's ? Tipo, caso um link da vpn da matriz caia, ele chegue pelo outro  link?

3 - Além do failover, tem como fazer divisão de links sobre a vpn ? Por exemplo, a navegação web (http, ftp, email) use uma adsl normal (por fora da vpn), enquanto o acesso ao ERP, use a rota da vpn (algo como marcação de pacotes no firewall).

4 - Essa solução tem como ser feita em apenas um servidor na matriz e filial, ou precisaria de 2 servidores na matriz e filial ?


--
[]'s,
Renato

Inteligência tem limite, mas burrice é infinita.  

http://br.youtube.com/profile?user=renatorudnicki&view=playlists

http://i39.tinypic.com/i4qwi8.jpg

Luiz Gustavo P Tonello

unread,
Sep 21, 2009, 4:28:13 PM9/21/09
to tche...@googlegroups.com
Eai cara..

Vou respondendo ao longo do e-mail...



1 - Gostaria de saber se tem como OpenVPN (ou outra solução linux) trabalhar com os ip's fixos e dinâmicos das filiais.

Sim, tanto OpenVPN quanto IPSEC é possível fazer isto, mas com a IPSEC será um pouco mais complicado, tendo que configurar um IP fixo internamente no modem, ou outra máquina, e adicionando esta 2da rede na liberação de firewall da configuração da VPN.
OpenVPN tu conseguirá deixando o servidor da VPN na parte do IP fixo, e o cliente no lado do IP dinâmico.


2 - Existe a possibilidade de fazer redundancia das VPN's ? Tipo, caso um link da vpn da matriz caia, ele chegue pelo outro  link?

Você diz tendo 2 VPN ligando matriz x filial? 
Nunca fiz isto, mas deve dar configurando regras de SNAT e ROUTE no firewall, e rodando um Duallink para que ele altere a rota padrão automaticamente quando uma VPN cair.


3 - Além do failover, tem como fazer divisão de links sobre a vpn ? Por exemplo, a navegação web (http, ftp, email) use uma adsl normal (por fora da vpn), enquanto o acesso ao ERP, use a rota da vpn (algo como marcação de pacotes no firewall).

Com regras de SNAT e ROUTE você consegue fazer isto, definindo por portas ou IP's.


4 - Essa solução tem como ser feita em apenas um servidor na matriz e filial, ou precisaria de 2 servidores na matriz e filial ?



Sim cara, um servidor em cada local. 
Basta estar com os 2 links no mesmo server e configurar mais de uma VPN.


Estas regras de firewall exigirão um bom debug, através de um dump (pode utilizar o *tcpdump* mesmo) conseguirá ver o que está ocorrendo de errado caso as conexões não estejam saindo como você queira.

Acredito que seja isto, me corrijam caso eu tenha me equivocado.
[]'s

--
Luiz Gustavo P Tonello.

Felipe Chiaradia

unread,
Sep 22, 2009, 9:27:36 PM9/22/09
to tche...@googlegroups.com
Repetindo a linha "remote IP" no conf do client de openvpn, tu pode usar uma para cada ip de destino.
--
Felipe Chiaradia
chia...@gmail.com


2009/9/21 Luiz Gustavo P Tonello <gustavo...@gmail.com>

Israel Ziegler

unread,
Sep 24, 2009, 1:06:11 PM9/24/09
to tche...@googlegroups.com
Vou citar um exemplo que implemetei com base no mesmo problema encontrado por ti:

Efetuei 2 VPNS no mesmo local .. as duas com remote .. VPNS normais porém apenas 1 delas com rotas ..
criei um trocarota.sh que seta as rotas da VPN.

EX:
  • sh trocarota.sh link1 (faz sair pela VPN1) (Padrão)
  • sh trocarota.sh link2 (faz sair pela VPN2)

Um script que faz o failover , ele mantém uma rota padrão, mas verifica a cada 60 segundos se a outra ponta da VPN responde utilizando a VPN1, se toda a verificação fica OK, ele mantém, senão troca o rota do link para VPN2 e faz a mesma verificação dentro de 60 segundos para testar se a primeira já voltou, senão continua com a rota da VPN2.

Desculpa se não fui muito claro, mas se te interesar podemos trocar umas idéias sobre isso.

2009/9/22 Felipe Chiaradia <chia...@gmail.com>



--
Israel Ziegler
--------------------
Analista de Suporte

Linux User #472496

renator

unread,
Sep 25, 2009, 8:05:13 AM9/25/09
to TcheLinux
vlw galera....assim que tiver um tempo, vou testar essas dicas....

grande abraço
Renato

On 24 set, 14:06, Israel Ziegler <ziegler.isr...@gmail.com> wrote:
> Vou citar um exemplo que implemetei com base no mesmo problema encontrado
> por ti:
>
> Efetuei 2 VPNS no mesmo local .. as duas com remote .. VPNS normais porém
> apenas 1 delas com rotas ..
> criei um trocarota.sh que seta as rotas da VPN.
>
> EX:
>
> - sh trocarota.sh link1 (faz sair pela VPN1) (Padrão)
> - sh trocarota.sh link2 (faz sair pela VPN2)
>
> Um script que faz o failover , ele mantém uma rota padrão, mas verifica a
> cada 60 segundos se a outra ponta da VPN responde utilizando a VPN1, se toda
> a verificação fica OK, ele mantém, senão troca o rota do link para VPN2 e
> faz a mesma verificação dentro de 60 segundos para testar se a primeira já
> voltou, senão continua com a rota da VPN2.
>
> Desculpa se não fui muito claro, mas se te interesar podemos trocar umas
> idéias sobre isso.
>
> 2009/9/22 Felipe Chiaradia <chiara...@gmail.com>
>
>
>
> > Repetindo a linha "remote IP" no conf do client de openvpn, tu pode usar
> > uma para cada ip de destino.
> > --
> > Felipe Chiaradia
> > chiara...@gmail.com
>
> > 2009/9/21 Luiz Gustavo P Tonello <gustavo.tone...@gmail.com>

Felipe Chiaradia

unread,
Sep 25, 2009, 7:10:45 PM9/25/09
to tche...@googlegroups.com
Depois posta pra gente o caminho tomado e os resultados ai.
--
Felipe Chiaradia
chia...@gmail.com


2009/9/25 renator <renato....@gmail.com>

Mauro Delazeri

unread,
Sep 26, 2009, 10:52:48 AM9/26/09
to tche...@googlegroups.com


  Utilize a opção se server randomico


----------------mensagem original-----------------
De: "Felipe Chiaradia" <chia...@gmail.com>
Para: tche...@googlegroups.com
Data: Fri, 25 Sep 2009 20:10:45 -0300
----------------------------------------------------------


Att,
Mauro Delazeri
Dep. informática
Benoit Eletrodomésticos Ltda

Antes de imprimir pense em seu compromisso com o Meio Ambiente
As informa��es contidas neste e-mail e nos arquivos anexados podem ser informa��es confidenciais ou privilegiadas. Caso voc� n�o seja o destinat�rio correto, apague o conte�do desta mensagem e notifique o remetente imediatamente.

Reply all
Reply to author
Forward
0 new messages