faq обучение настройка
Текущее время: Пт дек 14, 2018 07:28

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 22 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Чт фев 25, 2016 16:37 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 567
т.н. "кросс-резервирование" или "перекрестная схема"
т.е., есть два dfl-860e, каждый имеет два подключения к интернет
цель - организовать ipsec канал между dfl, таким образом, что бы он поднимался при любой конфигурации доступных внешних интерфейсов
т.е. в четырех вариантах
dfl-1_wan1---dfl-2_wan1
dfl-1_wan2---dfl-2_wan2
dfl-1_wan1---dfl-2_wan2
dfl-1_wan2---dfl-2_wan1
эта схема без использования групп в точках назначения и источниках ipsec, т.е. можно сказать что кредо этой схемы - "однозначность"
все на основе конкретных однозначных маршрутов (без групп в источниках и назначении) и мониторинга
схема проработана с участием консультанта по проектам представительства Длинк (всего работали втроем), в рамках семинара по dfl (правда в один день не уложились)
кроме двух dfl-860, в схеме участвовал L3 коммутатор - изображал интернет (для разделения среды между внешними интерфейсами, во избежании L3 петель)
пред история:
я порекомендовал человеку dfl-860e, как прибор который может реализовать данную схему, правда имея ввиду вариант с одним ipsec каналом на каждом dfl и группой адресов в ендпоинт, и когда приборы были на руках, как раз Длинк организовал в это время семинар, ну мы и притащили свое железо
за основу взяли how-to с двумя ipsec каналами и двумя вариантами работы - основной канал - dfl-1_wan1---dfl-2_wan1, и резервный - dfl-1_wan2---dfl-2_wan2
подробная отрисовка схемы займет некоторое время, думаю - за день, два добавлю сюда полную подробную инструкцию


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Чт фев 25, 2016 17:01 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8352
Откуда: Москва
Спасибо за проделанную работу, будем ждать.

Скоро лично для меня это будет актуально.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Пт фев 26, 2016 08:47 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7117
Откуда: Екатеринбург
В качестве дополнительного материала или руководства для сравнения решений даю ссылку.

Настройка режима failover для ipsec .pdf
http://forum.dlink.ru/download/file.php?id=5165

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Пт фев 26, 2016 11:41 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 567
были задействованы материалы:
http://dlink-manuals.org/dlink-howto-setup-two-ipsec-tunnel-failover-with-firewalls/download/
http://forum.ru-board.com/topic.cgi?forum=8&topic=39587#1
из крайней ссылки нужный кусок:
Цитата:
Если еще актуально:
1) IPSec "переключаться" не может, нужно просто сделать 2 туннеля WAN1<->WAN1 и WAN2<->WAN2 и можно сделать так, чтобы в норме жили оба. Нужно прописать явные маршруты на WAN1 соседа через свой WAN1 и на WAN2 через свой WAN2, а не надеяться на маршрут по умолчанию, который у вас переключается по RFO. К сожалению, не получается WAN1<->WAN2, в смысле иметь 4 варианта туннеля для любой комбинации работающих портов, и именно из-за маршрутизации.
2) Нельзя ставить галку на последней вкладке настройки IPSec - это создает стат. маршрут, независимо от того, жив туннель или нет. В принципе должно работать keepalive + галка создания маршрута на вкладке routing, но я так не делал, а делал через общий механизм RFO для большего единообразия и гибкости.

Я настраивал IPSec так:
1) На первой вкладке local net - all_nets, remote net - all_nets. Почему? Я назначал явные адреса концам туннелей и их нужно включать в соотв. сети - лишний геморрой. В общем, это дополнительный фильтр, а зачем, если есть правила файрволла?
2) Внизу на вкладке routing назначаем входу в туннель явный IP.
3) Никакие автом. марщруты ни в routing, ни в advanced не создаем, keepalive не включаем.
4) Прописываем стат. маршруты для дальних входов в туннели через соотв. туннель.
5) Теперь прописывам маршруты в соседнюю локалку через туннели с разной метрикой и с хост-мониторингом. Как хосты для мониторинга естественно даем дальние входы в туннели.
Ест-но все перечисленное делаем на обеих железяках.

Преимущества такой конфигурации: если желательно, чтобы в норме в Инет ходили через WAN1, а по VPN - через WAN2 или наоборот, или как угодно - достаточно поменять метрику у маршрутов c RFO. Благодаря наличию явных IP у туннелей легко проверить работоспособность резервного туннеля пингом или выяснить, через какой туннель мы сейчас работаем tracert.


Вложения:
Комментарий к файлу: схема "лабораторной работы"
DFL-Lab.png
DFL-Lab.png [ 99.72 KiB | Просмотров: 1679 ]
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Пт фев 26, 2016 12:17 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8796
Откуда: Москва
Простите , а в чем прикол ?
у меня такая схема работает уже больше года , вопрос то в том , или я ошибаюсь, что бы сохранить рабочий туннель , при хотя бы одной "живой" точке , на разных DFL.

Или я что то не понимаю ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Вс фев 28, 2016 16:06 
Не в сети

Зарегистрирован: Ср окт 15, 2014 17:30
Сообщений: 11
Vladimir22 писал(а):
Простите , а в чем прикол ?
у меня такая схема работает уже больше года , вопрос то в том , или я ошибаюсь, что бы сохранить рабочий туннель , при хотя бы одной "живой" точке , на разных DFL.

Или я что то не понимаю ?


в сети отсутствуют подробные HowTo для организации Failover IPSec методом 4-х труб. Да, функционально получается как раз то, о чем вы пишете.

Прикол в том, что ТС желает сделать и выложить в сеть такой HowTo. Вы же не сделали, хоть у вас и почти год оно работает. А он сделает.


Последний раз редактировалось doctorA Пн фев 29, 2016 02:42, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Вс фев 28, 2016 16:31 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8796
Откуда: Москва
Покажите пальцем мне туннель
Wan 1 wan2 . Где?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Вс фев 28, 2016 18:42 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 567
извиняюсь за задержку
в схеме задействованы два дфл и коммутатор, адреса портов коммутатора изображают шлюзы внешних интерфейсов дфл
коммутатор настроен таким образом, что с ванов дфл можно пинговать любой порт коммутатора (и соответственно wan интерфейсы dfl пингуют друг друга в любых направлениях) - типа интернет (но простой свич поставить нельзя, будет петля)
ip адреса на портах коммутатора мы использовали для облегчения понимания схемы, ну и для мониторинга тоже (но думаю можно обойтись и без них , если в реале схема без шлюзов)
настройки дфл симметричны, кроме одного момента (об этом в конце), например настраиваем верхний - dfl1
для него:
wan1 - 1.1.1.10
wan1 - 2.2.2.20

нам понадобятся 4 ipsec туннеля, для каждого укажем local и remote endpoint
№ local remote name
----------------------------------
1 wan1 3.3.3.30 ipsec1
2 wan2 4.4.4.40 ipsec2
3 wan1 4.4.4.40 ipsecCross1
4 wan2 3.3.3.30 ipsecCross2

галки добавления маршрута в таблицу и динамического маршрута везде отключены, ключ везде один
т.е. схема делается на основе англоязычного howto, на который в начале я дал ссылку, первые два туннеля есть в англоязычном руководстве, они прямые, вторые два перекрестные - это мы их добавили
в howto однозначность установления туннелей через нужные интерфейсы (wan1---wan1, wan2---wan2) обеспечивается двумя дополнительными маршрутами, у нас ipsec туннелей 4, соответственно и маршрутов 4, по два на каждом интерфейсе, и с мониторингом на одном из пары

M NET IF GW Metr
-----------------------------------
M 3.3.3.30 wan1 1.1.1.1 90
-- 3.3.3.30 wan2 2.2.2.2 100
M 4.4.4.40 wan2 2.2.2.2 90
-- 4.4.4.40 wan1 2.2.2.2 100

добавим маршруты для доступа к удаленной сети (для dfl1 это 192.168.2.0/24 ), их тоже 4 шт

M NET IF Metr
------------------------------------
M 192.168.2.0/24 ipsec1 90
M 192.168.2.0/24 ipsec2 100
M 192.168.2.0/24 ipsecCross1 110
M 192.168.2.0/24 ipsecCross2 120

все маршруты с мониторингом, т.е. мы однозначно указываем dfl в какой последовательности использовать туннели для доступа к удаленной сети

теперь очень важный момент
это то зерно, которое мы взяли из второй ссылки, это к вопросу - как мониторить ipsec, этот вариант нам больше всего понравился, потому как самый однозначный :)
в настройках ipsec, вкладка advansed, самый нижний пункт - IP Address
т.е. когда туннель поднят, он будет пинговаться на этот адрес
каждому ipsec присваиваем произвольный (из своей локальной сети) IP, т.к. мы разбираем настройку dfl1 то мониторить мы будем адреса удаленной для него сети, т.е. IP присвоенные туннелям на дфл2:
dfl2_ipsec1 - 192.168.2.10
dfl2_ipsec2 - 192.168.2.11
dfl2_ipsecCross1 - 192.168.2.12
dfl2_ipsecCross2 - 192.168.2.13
и прописываем эти ip в мониторинге соответствующих им ipsec туннелей противоположного dfl

для "приклеивания" этих IP соответствующим ipsec туннелям (на "противоположном" для них dfl), прописываем на dfl1 маршруты (и соответственно на dfl2 аналогично)
192.168.2.10 ipsec1
192.168.2.11 ipsec2
192.168.2.12 ipsecCross1
192.168.2.13 ipsecCross2
без мониторинга, с любыми метриками
при добавлении двух крайних маршрутов (и соответственно при выборе ip для мониторинга на перекрестных туннелях) следует учитывать, что для перекрестных туннелей, на разных dfl могут понадобится ассиметричные настройки, т.е. для ip адреса туннеля на dfl1 - dfl1_wan1---dfl2_wan2, будет соответствовать ip адрес присвоенный туннелю на dfl2 - dfl2_wan2---dfl1_wan1
вот собственно и все

чем понравилась эта схема - туннели переключаются мгновенно, нет ожидания ipsec, можно выставить параметры мониторинга на минимум, все переключается сразу
если я выложил то что всем и так давно известно, прошу великодушно простить:)

мониторинг wan интерфейсов "вынесен за скобки"


Вложения:
Комментарий к файлу: примерно должно получиться так
1.png
1.png [ 39.13 KiB | Просмотров: 1645 ]
Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Пн фев 29, 2016 02:23 
Не в сети

Зарегистрирован: Ср окт 15, 2014 17:30
Сообщений: 11
Shkiper писал(а):
коммутатор настроен таким образом, что с ванов дфл можно пинговать любой порт коммутатора (и соответственно wan интерфейсы dfl пингуют друг друга в любых направлениях) - типа интернет (но простой свич поставить нельзя, будет петля)


для тестов все-таки можно использовать не свич, а любой роутер
в логах, конечно, полный швах, все забито сообщениями про ARP, но каналы IPSec работают и переключаются

все WAN-ы DFL-ек втыкаются в роутер, им присваиваются адреса из одной подсети, шлюзом указывается адрес этого роутера


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Пн фев 29, 2016 04:54 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 567
я для лабораторной готовил "не однозначную" схему (с группами в точках назначения), она то работала - то не работала
там была неоднозначность с ipsec каналами (но это решалось удалением ipsec сессий вручную или перезагрузкой dfl), но и из-за arp по моему тоже тупила

когда возникает "неоднозначность" с ipsec каналами, т.е. поднимается второй ipsec и система начинает создавать подключения через него, но 1-й не отвалился и на нем висят подключения, система не может создать одинаковые соединения (с одинаковыми источником и назначением) на разных интерфейсах, и в результате выдает ошибку reverse_connect_attempt (ID: 00600015)

а про что будет, если разные wan воткнуть в одну arp таблицу, я пока не разобрался
и кстати, в англ. howto тоже используют управляемый коммутатор для этих целей


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Пн фев 29, 2016 08:54 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8796
Откуда: Москва
попрощу несколько уточнений в данной схеме .
-каким образом у вас в двух туннелях одинаковое RemoteEndPoint ?
-каким образом и при каких таблицах маршрутизации у вас создается туннель.
dfl-1_wan1---dfl-2_wan2

dfl-1_wan2---dfl-2_wan2

каким образом, и при помощи чего - вы явно сказали какому туннелю ходить на какой соседний интерфейс соседа ?
И я так понимаю это делается на основе ключей ?

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Пн фев 29, 2016 09:05 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7117
Откуда: Екатеринбург
Было бы неплохо, если бы нашлась хотя бы парочка желающих, среднего класса подготовки, которая бы с нуля по этой инструкции попыталась внедрить эту схему. Чтобы учесть их опыт для доработки инструкции.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Пн фев 29, 2016 09:56 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8352
Откуда: Москва
Для реальной проверки, имхо, помимо наличия желающих необходима еще и техническая возможность - наличие 2х провайдеров со стороны каждой DFL'ки, притом, с внешними IP.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Пн фев 29, 2016 10:07 
Не в сети

Зарегистрирован: Вс авг 24, 2003 08:41
Сообщений: 567
Vladimir22 писал(а):
И я так понимаю это делается на основе ключей ?

я упомянул ключи в том смысле, что в англ. howto 2 параллельный туннеля, которые не пересекаются, и для каждого может быть свой ключ, здесь он должен быть оди на всех


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: failover ipsec-vpn между двумя dfl-860e, how-to
СообщениеДобавлено: Пн фев 29, 2016 10:13 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8796
Откуда: Москва
Хорошо , туту понятно ...
а как насчет
Vladimir22 писал(а):
-каким образом и при каких таблицах маршрутизации у вас создается туннель.dfl-1_wan1---dfl-2_wan2dfl-1_wan2---dfl-2_wan2

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 22 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Baidu [Spider], Google [Bot], Kaplin_Andrey и гости: 26


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB