Kernell32
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго времени суток
Дано:
Центральная сеть L3, несколько vlan как для отделов, так и для остального.
Есть уд. филиалы, они подключены к нам через VPN L2 от провайдера в Untagged порт. За то чтоб tagged заработал - за каждый tagged платить столько же сколько за Untagged(надо три vlan'a чтоб бегало - три аб. платы плати и всё в рамках одной ширины канала)
Временами этот VPN L2 падает, падает по разным причинам: обрыв магистрали, отрубание э.энергии, прочее. Временами провайдер начинает раздачу ip адресов на sip телефоны удаленьщиков после чего включается режим м.тазика.
Если в ц.офисе у меня несколько и.каналов(сейчас два, в любое время могу запустить еще один) от разных провайдеров и есть кто через одного, кто(все остальные через другого), то в у.филиале сканеры kyocera отправляют сканы через центральный интернет, пользователи сидят в интернете через прокси на своём интернете(аутглюк в том числе через stunnel настроен).
Удаленщики получают сетевые настройки из центральной сети.
Филиальники(назовём их так) пользуются нашей базой через rdp app, могут отправлять на наши(центральная сеть) принтера счета, мы(центральная сеть) в свою очередь так же отправляем на их принтера.
Это всё работает, счастье заканчивается когда сеть пропадает.
Нужна отказоустойчивость(продукцию продали, а отгрузить не можем ибо база недоступная из-за падения VPN L2)
Центральный шлюз используется программный pfsense, с маршрутами, ограничениями, правилами, всякие pfblockerNG вместе с DNSBL.
Нашёл такую статейку
https://forum.netgate.com/topic/143361/ipsec-и-states-через-два-wan-автоматически
и в моём случае если ей верить то получается так:
мне будет нужно чтоб было с каждой стороны по pfsence программному маршрутизатору(с одной стороны уже есть).
На каждом поднимать по два OpenVPN сервера и по два OpenVPN клиента.
Почему по два? : Один обслуживает через VPN L2, второй обслуживает через внешний интернет(центральный через два интернета)
Далее каждую пару этих vpn объединять в failover группу. Настроить приоритеты(Tier)
Прописывать маршруты с двух сторон ссылаясь на failover группу.
Удаленщиков переводить на свой DHCP сервер, без использования безобразной прокси.
Одно дело это когда удаленщикам нужна база и всё, другое дело когда центральной нужны принтера которые недоступны, а желающих отправить печать на них много человек.
Верно ли я понял что такое решение имеет место быть ?
Буду рад услышать критику.
Всем заранее спасибо.
|
