Ajuda com Redundancia de VPN

[Renato Rudnicki]

Ola pessoal.

Nao tenho um conhecimento muito aprofundado sobre vpn, e por isso preciso da ajuda de voces.

Tenho o Seguinte cenário:

Possuo uma matriz com 2 links de ip fixo.
Possuo algumas filiais com ip fixo, e outras com ip dinamico

Agora segue as dúvidas:

1 - Gostaria de saber se tem como OpenVPN (ou outra solução linux) trabalhar com os ip's fixos e dinâmicos das filiais.

2 - Existe a possibilidade de fazer redundancia das VPN's ? Tipo, caso um link da vpn da matriz caia, ele chegue pelo outro  link?

3 - Além do failover, tem como fazer divisão de links sobre a vpn ? Por exemplo, a navegação web (http, ftp, email) use uma adsl normal (por fora da vpn), enquanto o acesso ao ERP, use a rota da vpn (algo como marcação de pacotes no firewall).

4 - Essa solução tem como ser feita em apenas um servidor na matriz e filial, ou precisaria de 2 servidores na matriz e filial ?


--
[]'s,
Renato

Inteligência tem limite, mas burrice é infinita.  

http://br.youtube.com/profile?user=renatorudnicki&view=playlists

http://i39.tinypic.com/i4qwi8.jpg

[Luiz Gustavo P Tonello]

Eai cara..

Vou respondendo ao longo do e-mail...

1 - Gostaria de saber se tem como OpenVPN (ou outra solução linux) trabalhar com os ip's fixos e dinâmicos das filiais.

Sim, tanto OpenVPN quanto IPSEC é possível fazer isto, mas com a IPSEC será um pouco mais complicado, tendo que configurar um IP fixo internamente no modem, ou outra máquina, e adicionando esta 2da rede na liberação de firewall da configuração da VPN.

OpenVPN tu conseguirá deixando o servidor da VPN na parte do IP fixo, e o cliente no lado do IP dinâmico.

2 - Existe a possibilidade de fazer redundancia das VPN's ? Tipo, caso um link da vpn da matriz caia, ele chegue pelo outro  link?

Você diz tendo 2 VPN ligando matriz x filial? 

Nunca fiz isto, mas deve dar configurando regras de SNAT e ROUTE no firewall, e rodando um Duallink para que ele altere a rota padrão automaticamente quando uma VPN cair.

3 - Além do failover, tem como fazer divisão de links sobre a vpn ? Por exemplo, a navegação web (http, ftp, email) use uma adsl normal (por fora da vpn), enquanto o acesso ao ERP, use a rota da vpn (algo como marcação de pacotes no firewall).

Com regras de SNAT e ROUTE você consegue fazer isto, definindo por portas ou IP's.

4 - Essa solução tem como ser feita em apenas um servidor na matriz e filial, ou precisaria de 2 servidores na matriz e filial ?

Sim cara, um servidor em cada local. 

Basta estar com os 2 links no mesmo server e configurar mais de uma VPN.

Estas regras de firewall exigirão um bom debug, através de um dump (pode utilizar o *tcpdump* mesmo) conseguirá ver o que está ocorrendo de errado caso as conexões não estejam saindo como você queira.

Acredito que seja isto, me corrijam caso eu tenha me equivocado.

[]'s

--

Luiz Gustavo P Tonello.

[Felipe Chiaradia]

Repetindo a linha "remote IP" no conf do client de openvpn, tu pode usar uma para cada ip de destino.
--
Felipe Chiaradia
chia...@gmail.com

2009/9/21 Luiz Gustavo P Tonello <gustavo...@gmail.com>

[Israel Ziegler]

Vou citar um exemplo que implemetei com base no mesmo problema encontrado por ti:

Efetuei 2 VPNS no mesmo local .. as duas com remote .. VPNS normais porém apenas 1 delas com rotas ..
criei um trocarota.sh que seta as rotas da VPN.

EX:

• sh trocarota.sh link1 (faz sair pela VPN1) (Padrão)
  
• sh trocarota.sh link2 (faz sair pela VPN2)

Um script que faz o failover , ele mantém uma rota padrão, mas verifica a cada 60 segundos se a outra ponta da VPN responde utilizando a VPN1, se toda a verificação fica OK, ele mantém, senão troca o rota do link para VPN2 e faz a mesma verificação dentro de 60 segundos para testar se a primeira já voltou, senão continua com a rota da VPN2.

Desculpa se não fui muito claro, mas se te interesar podemos trocar umas idéias sobre isso.

2009/9/22 Felipe Chiaradia <chia...@gmail.com>

--
Israel Ziegler
--------------------
Analista de Suporte

Linux User #472496

[renator]

vlw galera....assim que tiver um tempo, vou testar essas dicas....

grande abraço
Renato

On 24 set, 14:06, Israel Ziegler <ziegler.isr...@gmail.com> wrote:
> Vou citar um exemplo que implemetei com base no mesmo problema encontrado
> por ti:
>
> Efetuei 2 VPNS no mesmo local .. as duas com remote .. VPNS normais porém
> apenas 1 delas com rotas ..
> criei um trocarota.sh que seta as rotas da VPN.
>
> EX:
>

> - sh trocarota.sh link1 (faz sair pela VPN1) (Padrão)
> - sh trocarota.sh link2 (faz sair pela VPN2)

>
> Um script que faz o failover , ele mantém uma rota padrão, mas verifica a
> cada 60 segundos se a outra ponta da VPN responde utilizando a VPN1, se toda
> a verificação fica OK, ele mantém, senão troca o rota do link para VPN2 e
> faz a mesma verificação dentro de 60 segundos para testar se a primeira já
> voltou, senão continua com a rota da VPN2.
>
> Desculpa se não fui muito claro, mas se te interesar podemos trocar umas
> idéias sobre isso.
>

> 2009/9/22 Felipe Chiaradia <chiara...@gmail.com>

>
>
>
> > Repetindo a linha "remote IP" no conf do client de openvpn, tu pode usar
> > uma para cada ip de destino.
> > --
> > Felipe Chiaradia

> > chiara...@gmail.com
>
> > 2009/9/21 Luiz Gustavo P Tonello <gustavo.tone...@gmail.com>

[Felipe Chiaradia]

Depois posta pra gente o caminho tomado e os resultados ai.
--
Felipe Chiaradia
chia...@gmail.com

2009/9/25 renator <renato....@gmail.com>

[Mauro Delazeri]

  Utilize a opção se server randomico

----------------mensagem original-----------------
De: "Felipe Chiaradia" <chia...@gmail.com>
Para: tche...@googlegroups.com
Data: Fri, 25 Sep 2009 20:10:45 -0300
----------------------------------------------------------

---

Att,
Mauro Delazeri
Dep. informática
Benoit Eletrodomésticos Ltda

Antes de imprimir pense em seu compromisso com o Meio Ambiente
As informa��es contidas neste e-mail e nos arquivos anexados podem ser informa��es confidenciais ou privilegiadas. Caso voc� n�o seja o destinat�rio correto, apague o conte�do desta mensagem e notifique o remetente imediatamente.