ISP failover.... con VPN?

[El Berto]

Stavo pensando di realizzare un ISP failover in questo modo:

Ho 2 ISP, uno con indirizzo IP (x es. 110.10.10.27) fisso, l'altro dinamico (x es. 2.192.7.8).
Per il controllo della connessione utilizzo 2 indirizzi IP esterni (x es. 8.8.8.8 e 4.4.4.4) con questo routing:

- 8.8.8.8 -> gateway 110.10.10.1 (gli indirizzi del gateway li invento)
- 4.4.4.4 -> gateway 10.0.0.1

Vedo tramite un ping agli indirizzi esterni quale ISP è attivo, e di conseguenza imposto tramite script il default gateway:

0.0.0.0 -> gateway 110.10.10.1 oppure 110.10.10.1 a seconda dei casi

In questo modo riesco a uscire su internet.

Se poi ho anche bisogno di entrarci, non sapendo a priori l'ISP attivo, potrei utilizzare un servizio DDNS aggiornando il mio DNS "mioDNS.dyndns.org" con gli indirizzi IP pubblici (quindi 110.10.10.27 oppure 2.192.7.8).

E anche per entrarci sono a posto.

Ora arriva il figo di turno che esclama:
"Ah, ma con i Cisco ti basta implementare 2 VPN e sei a posto!"

Posso veramente realizzare un ISP failover con le VPN?
Grazie.

[xanio]

Alla fine io ho utilizzato una situazione simili per il failore da una rete principale HDSL ad una di backup ADSL. Ma ho usato un concetto un po diverso (forse troppo sommario) Ho usato i tool netwatch e script in questo modo.

ho i due router1 (10.0.0.1) e router2 (10.0.0.2) di defautl esco con il router1.
Tramite una rotta STATICA pingo l'ip 8.8.8.8 e nel momento in cui non lo pingo più, cambio il default gw con uno script. Quando riesco a ripingare l'ip 8.8.8.8 tramite il gw router principale rimetto tutto apposto con un'altro script.

nota: per convenzione ho usato l'ip pubblico 8.8.8.8, ma in realta ho usato un ip pubblico mio, in quanto quello viene usato come default DNS da tutti i client della rete

[xanio]

Per quanto riguarda il discorso VPN con failover, non ho capito in che modo lo vorresti usare!
Alla fine se hai un solo apparato in cui fai la VPN Server, basta che apri le due porte sul router e tramite il DDNS ti fai dare l'ip aggiornato (oppure tramite una mail ), e quando non raggiungi il server vpn dall'ip principale, allora lo sfrutti tramite il DDNS. Io ho inteso questo, se mi sono sbagliato correggimi

[El Berto]

Guarda, premetto che le mie competenze di reti sono limitate.....
In realtà io ho 3 punti da collegare, e in ogni punto è installato sia un server TCP che un client, per questo implemento anche il DDNS per entrarci dall'esterno.

Di VPN non ne capisco molto, vorrei solo capire se i Cisco hanno dei protocolli particolari (proprietari) che implementano anche il failover o sono altre impostazioni (e quindi possono essere implementate anche con Routeros).

[figheras]

ho i due router1 (10.0.0.1) e router2 (10.0.0.2) di defautl esco con il router1.
Tramite una rotta STATICA pingo l'ip 8.8.8.8 e nel momento in cui non lo pingo più, cambio il default gw con uno script. Quando riesco a ripingare l'ip 8.8.8.8 tramite il gw router principale rimetto tutto apposto con un'altro script.

Per questo è piu comodo usare il recursive nexthop....piu veloce e funzionale !
Eccoti un esempio:

Codice: Seleziona tutto

/ip route add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=8.8.8.8 scope=30 target-scope=10
add disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.0.0.2 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=8.8.8.8/32 gateway=10.0.0.1 scope=10 target-scope=10

[xanio]

Scusa, ma mi sono perso, tu hai fatto una rotta di default 0.0.0.0/0 verso 8.8.8.8?
Poi hai impostato un default gw con il 10.0.0.2 con distance 2, ma poi una rotta verso 8.8.8.8 con il primo gw!

Perchè? capisco gli ultimi due comandi, ma il primo non l'ho capito e sopratutto sei sicuro che così funziona?

[Linkwave]

Si apprende al corso MTCRE, funziona!

E' una delle piú semplici applicazioni pratiche dello scope/target-scope.

Lorenzo

[El Berto]

Mi sembra riguardi la priorità, giusto?
Una volta avevo fatto qualcosa del genere, quando staccavo il cavo verso un gateway mi entrava in automatico il secondo gateway collegato su di un'altra porta.....

Comunque, tornando al discorso iniziale, se per semplicità avessi tutti indirizzi IP fissi, le VPN sarebbero come dei cavi di rete, "link" tra una porta e l'altra?
Quindi avendo le eth1 e eth2 in un router, e le ethA e ethB in un altro, dovrei realizzare delle VPN:

eth1 <-> ethA
eth1 <-> ethB
eth2 <-> ethA
eth2 <-> ethB

e poi selezionare le priorità (o qualcosa del genere), giusto?

[Linkwave]

Le VPN usano le rotte esistenti, eventualmente con failover, per connettersi al rispettivo endpoint.