Salut, Caut o soluie cat mai eleganta pentru urmatoarea situatie : (stiu ca in general s-a mai discutat si ca azi e vineri dar, totusi, poate ma lamuresc)
se dau 4 sedii legate la net prin 2 isp-uri si intre ele printr-un openvpn facut numai pe interfetele catre ISP1. Acest tunel se leaga de un al 5-elea sediu care este conectat printr-o singura legatura de net (sa zicem ca prin ISP3) si care este si server openvpn Se doreste ca traficul vpn din cele 4 sedii sa treaca numai prin interfata catre ISP2 iar restul traficului prin interfata catre ISP1 si sa existe un mecanism de failover (nu neaparat si de load balancing) , adica in momentul in care pica ISP1 tot traficul sa treaca prin ISP2 si invers. eu vad deocamdata 3 posibilitati teoretice sa rezolv problema: 1. bgp - domeniu la care nu ma pricep deloc dar pot studia daca este solutia cea mai buna si de aseamenea cumpararea unui AS number nu cred ca este o problema dar as vrea totusi sa incerc si alte metode inainte. 2. in fisierul de configurare al openvpn sa trec rutele la care se face push prin ambele conexiuni cu metrica diferita push "route 10.20.1.0 255.255.255.0 GW_ISP1 3" push "route 10.20.1.0 255.255.255.0 GW_ISP2 2" 10.20.1.0 este unul din subneturile din cele 4 sedii am incercat varinata asta pt ca mi se parea destul de eleganta dar nu am reusit sa o fac sa functioneze. posibil sa mai trebuiasa sa modific cate ceva prin firewall. 3. marchez pachetele care pleaca catre celelalte subnet-uri pt fiecare locatie si le trimit prin interfata catre ISP2. un script in cron verifica daca interfetele sunt up si modifica regulile din firewall in concordanta. ceva de genul: echo 201 ISP2_table >> /etc/iproute2/rt_tables ip rule add fwmark 2 table ISP2_table iptables -A PREROUTING -t mangle -d 10.20.0.0/24 -j MARK --set-mark 2 ip route add default via $GW_ISP2 dev $ETH_ISP2 table ISP2_table In cazul de fata nu sunt sigur ca am facut marcarea corect , daca ar mai trebui alte reguli in firewall sau daca vpn-ul va functiona corect. Astept orice sugestie, nu vreau mura in gura dar nu ma deranjeaza nici o pomana... macar sa stiu ca drumul pe care am plecat nu e gresit din start. Daca ceva nu e clar va explic cu placere. Multumesc, Alexban _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
