Hola: 2010/1/29 Javier Aquino H. <[email protected]>
> Saludos a to2, > > > > Resulta que la próxima semana vamos a adquirir un nuevo servicio de > Internet, con lo cual ya contaríamos con 2 ISP. La pregunta del millón es: > Si yo tengo un servidor que hace de VPN, Firewall y Proxy …. Como hago para > que este mismo servidor controle también si la salida es por uno u otro ISP > ??? > > > Tal como te recomendaron, la documentación de Shorewall para MultiISP es quizás la más apropiada para ti, basándose principalmente en la configuración de los proveedores en /etc/shorewall/providers y las reglas de enrutamiento en /etc/shorewall/tcrules. Sin embargo debajo algunas observaciones importantes: > La idea es la siguiente: > > - La VPN saldrá por un ISP (Aquí no debe haber problemas con la > configuración del OpenSWan ) > Probablemente con Openswan tendrás necesidad de definir de manera precisa a través de qué interfaz de red (eth0 o eth1, asumiendo que ambas conectan a 2 routers de ISPs distintos) atenderá las peticiones de VPN con IPSEC. Al menos con OpenVPN sí es necesario hacer esto en configuraciones Multihomed como la tuya. > - El acceso HTTP (Squid) quiero que algunos salgan por un ISP y > otros por el otro (Es posible esto??? … desde Squid??? ) > Sí es posible hacerlo desde Squid, lo tengo ya implementado en 3 instalaciones distintas. Necesitas crear tus ACLs de clasificación tradicionales (src, dstdomain, time, arp, etc...) y en base a ellas decidir qué conexión sale por un proveedor u otro de manera similar a esta: acl gerencia src 192.168.1.10-192.168.1.20 acl empleados src 192.168.1.21-192.168.1.100 tcp_outgoing_address 192.168.10.2 gerencia tcp_outgoing_address 192.168.20.2 empleados Para este ejemplo se asume que: eth0 (ISP 1) tiene la IP 192.168.10.2 y se conecta al router de IP 192.168.10.1 eth1 (ISP 2) tiene la IP 192.168.20.2 y se conecta al router de IP 192.168.20.1 eth2 (LAN) tiene la IP 192.168.1.1 y atiende a la red 192.168.1.0/24 Ahora, para este caso Squid es quien decide por donde mandar una conexion saliente. No intentes rehacer esta decision de encaminamiento a través de reglas en /etc/shorewall/tcrules porque no obtendrás los resultados esperados. - Los demás recursos de internet de salida (https, ftp, etc .. ) > también quiero que salgan una parte por uno y otro por el segundo ISP. > HTTPS lo podrías seguir sacando por Squid con las recomendaciones de arriba, incluso también el FTP pero si gustas esto podrías decidir por donde encaminarlo en /etc/shorewall/tcrules Adicionalmente si te animas a correr un servidor DNS como BIND (o cualquier otro) en el mismo equipo Firewall+Proxy no olvides también indicarle a través de qué dirección IP se realizarán las consultas DNS. Por ejemplo en BIND podrías definirlo así en /etc/named.conf: query-source 192.168.10.2; Con lo anterior le dirías que BIND haría las consultas DNS por el ISP 1. > > Espero alguien pueda darme algunas luces para poder solucionar este tema > que se avecina. > > Leyendo la documentación sugerida, tomando en cuenta estas recomendaciones y con algo de ensayo+error lo lograrás en no más de una tarde. Saludos > > Saludos, > > > > Javier. > > > > > > > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://listas.linux.org.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php >
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://listas.linux.org.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
