2 votos

Vinculación con OpenVPN, para tolerancia a fallas

Tengo dos servidor OpenVPN, y dos máquinas de conectarse con ellos.

1 servidor openvpn dirección: 10.158.1.1
2 de servidor openvpn dirección: 10.158.2.1

La máquina 1 tiene la dirección 10.158.1.11 en el servidor 1, 10.158.2.11 en el servidor2.
El equipo 2 tiene la dirección 10.158.1.12 en el servidor 1, 10.158.2.12 en el servidor2.

Un simple texto basado en el diagrama de aspecto:

10.158.1.11 (equipo1) <-------(10.158.1.1 server1)-------> 10.158.1.12 (equipo2)
10.158.2.11 (equipo1) <-------(10.158.2.1 server2)-------> 10.158.2.12 (equipo2)

En este punto, todo está bien, puedo hacer ping 1.11 de 1.12, 2.11 de 2.12 etc..

Así que las máquinas pueden llegar a otras a lo largo de dos interfaces VPN a través de openvpn servidor (cliente-a-cliente habilitado en el servidor de openvpn)

Lo que me gustaría lograr es tener una interfaz vinculada, tener una IP para máquinas de hablar el uno al otro.

Ejemplo: 10.159.0.1 para la máquina 1, y 10.159.0.2 para la máquina 2.

Trató de poner en tap10 y tap20 (openvpn interfaces respectivamente) en el modo de enlace de respaldo activo, pero si yo uso mii, obviamente no tiene sentido si interfaz vpn es abajo, como openvpn no pone el toque de la interfaz de abajo si va el enlace abajo.
También trató de utilizar la supervisión arp, pero luego de la vinculación piensa que todas las de la interfaz de abajo, como ARP no funciona cuando interfaces fueron esclavizados. Trató de usar los túneles GRE (para ser más específico, GRETAP, no regular GRE que es sólo l3) a través de openvpn grifos, pero no sólo como la del GRIFO normal interfaces.

PS: la Máquina 2, 1 Servidor con Debian 9, el Servidor 2 y la Máquina 1 de la ejecución de Debian 8.
En Debian 8 sistemas, mediante el backport 2.4 OpenVPN. Así OpenVPN versiones coinciden.

Alguna idea de qué hacer?
Gracias por tu entrada!

1voto

SmallLoanOf1M Puntos 1039

Me gustaría comenzar a responder esta diciendo que su estrategia no funcionará. Usted no va a conseguir la unión a través de estas interfaces. Cuando usted consigue en la ruta, he abandonado las nociones de vinculación y ahora estamos en el reino de enrutamiento avanzado de tecnologías como BGP o de equilibrio de carga de servidores VPN a sí mismos. Sin embargo, sin saber a tus necesidades no puedo hacer una muy sólida recomendación.

BGP es muy probable que sea una potencial respuesta aquí para que sea posible la creación de redes externas de los requisitos, como es la ruta múltiples comúnmente se encuentra ISPs juntos para "internet" redundancia de enlace. Incluso se puede utilizar de forma dinámica la ruta a través de regiones geográficas y proporcionar geo-diversa disponibilidad. Podría no ser necesario, pero si usted tiene dos sitios bajo su control para el mismo propósito, usted podría considerar algo como eso.

Si desea crear localmente de forma conjunta los servidores de clústeres para OpenVPN, ya sea en lugar de, o además de enrutamiento avanzado, será necesario emplear el uso de un stateful (aplicación) del equilibrador de carga para los clústeres activo / activo, o utilizar Linux HA con Marcapasos con el fin de gestionar los recursos en un clúster de conmutación por error.

Ambos de estas sugerencias son generalmente demasiado complicado para ampliar su finalización a través de este medio, y en general están destinados a actuar como punteros para que usted posiblemente reconstruir su estrategia.

Y por último, no me gusta hacer recomendaciones de productos; que no era así. Sin embargo, en el momento de escribir esto "PFSense" es un fantástico fuera de la caja del producto que le ayudará a clúster de OpenVPN en un par de HA y administrar BGP tráfico. Si estás perdido en los detalles y quieres un trabajo concepto o producto, esto puede ayudar a usted. Que firewall appliance sólo toma unos pocos minutos para llegar completamente funcional incluso en una máquina virtual.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: