Kernell32
Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору Доброго времени суток Дано: Центральная сеть L3, несколько vlan как для отделов, так и для остального. Есть уд. филиалы, они подключены к нам через VPN L2 от провайдера в Untagged порт. За то чтоб tagged заработал - за каждый tagged платить столько же сколько за Untagged(надо три vlan'a чтоб бегало - три аб. платы плати и всё в рамках одной ширины канала) Временами этот VPN L2 падает, падает по разным причинам: обрыв магистрали, отрубание э.энергии, прочее. Временами провайдер начинает раздачу ip адресов на sip телефоны удаленьщиков после чего включается режим м.тазика. Если в ц.офисе у меня несколько и.каналов(сейчас два, в любое время могу запустить еще один) от разных провайдеров и есть кто через одного, кто(все остальные через другого), то в у.филиале сканеры kyocera отправляют сканы через центральный интернет, пользователи сидят в интернете через прокси на своём интернете(аутглюк в том числе через stunnel настроен). Удаленщики получают сетевые настройки из центральной сети. Филиальники(назовём их так) пользуются нашей базой через rdp app, могут отправлять на наши(центральная сеть) принтера счета, мы(центральная сеть) в свою очередь так же отправляем на их принтера. Это всё работает, счастье заканчивается когда сеть пропадает. Нужна отказоустойчивость(продукцию продали, а отгрузить не можем ибо база недоступная из-за падения VPN L2) Центральный шлюз используется программный pfsense, с маршрутами, ограничениями, правилами, всякие pfblockerNG вместе с DNSBL. Нашёл такую статейку https://forum.netgate.com/topic/143361/ipsec-и-states-через-два-wan-автоматически и в моём случае если ей верить то получается так: мне будет нужно чтоб было с каждой стороны по pfsence программному маршрутизатору(с одной стороны уже есть). На каждом поднимать по два OpenVPN сервера и по два OpenVPN клиента. Почему по два? : Один обслуживает через VPN L2, второй обслуживает через внешний интернет(центральный через два интернета) Далее каждую пару этих vpn объединять в failover группу. Настроить приоритеты(Tier) Прописывать маршруты с двух сторон ссылаясь на failover группу. Удаленщиков переводить на свой DHCP сервер, без использования безобразной прокси. Одно дело это когда удаленщикам нужна база и всё, другое дело когда центральной нужны принтера которые недоступны, а желающих отправить печать на них много человек. Верно ли я понял что такое решение имеет место быть ? Буду рад услышать критику. Всем заранее спасибо. |