Il 02/08/2022 21:02, Mauro ha scritto:
Avendo da collegare più sedi geograficamente distribuite (e talvolta
poco supervisionate) sarebbe utile avere in ogni sede due link:
- master: ADSL/fibra, unmetered, normalmente attivo
- backup: LTE, metered e con traffico abbastanza ridotto, quindi da
usare quasi solo se l'altra connessione è giù
Beh, tieni presente che per la ADSL c'è il router del provider (che
talvolta non si può rimpiazzare, vedi FWA di Vodafone), mentre per LTE
ho già diversi Mikrotik SXT. Quindi in caso di problemi, non posso
semplicemente basarmi sulla mancanza del link: il router è comunque
raggiungibile, è l'altro estremo a non esserlo... E con questo mi gioco
una semplice configurazione con due default route a costo diverso :(
e fino qui tutto chiaro. Prassi consolidata e anche il pinguino peggio
configurato riesce a tenerle in piedi con alternanza in caso di guasto.
Che configurazione suggerisci?
Quello che vorrei è avere per ogni sede due client attivi (master e
backup) verso il/un server, così se p.e. devo cambiare
server/certificati/ecc posso farlo gradualmente, magari prima
riconfigurando il client di backup e poi, quando quello è a posto, il
principale, senza quasi interruzione.
qui mi sono sono perso. non ho capito.
Non voglio avere un solo client OVPN, poiché se va in crash lui la sede
diventa irraggiungibile. Per questo, mentre un client può starsene in
una VM insieme alle altre, l'altro se ne starà su un RPi o simile.
io per consuetudine, sulla macchina che funge da firewall o una macchina
del backend (dipende dalle situazioni) ho una vpn attiva verso un mio
centro stella che raccoglie tutte le vpn. Openvpn riesce a stare su
anche a pc spento, e quando cade una connessione, lui utilizza quella di
backup che nel frattempo ha preso il posto della primaria.
Però se (come mi è successo proprio 2 giorni dopo essere partito per le
ferie) la scheda di rete dell'host di virtualizzazione inizia a dare i
numeri (una e1000e... cosa c'è di più stabile???), ti sei giocato la
sede anche se la linea è attiva.
In questo
modo indipendentemente dalla connessione ho modo di raggiungere la rete
remota sempre.
Quasi :)
unica nota, il nodo che fa da master dell vpn e' replicato. nel caso
vada giu, c'e' un nodo di backup sempre pronto a entrare in servizio e a
sostituire il server vpn guasto. Non avendo la possibilita' di avere due
macchine posizionate dietro lo stesso ip, gioco di dns.
Beh, si possono anche specificare più server nella config dei client. :)
Le connessioni dovrebbero venire instradate automaticamente sul link
master, andando sul backup solo se il master è down.
Le macchine delle diverse sedi dovrebbero potersi "vedere" tutte.
intendi dire che indipendentemente dallo stato delle singole connessioni
(master up o backup up) le vpn dovrebbero tenere il piu' possibile in
modo da garantire la visibilita' delle varie reti?
Esatto. L'ideale sarebbe se fosse possibile differenziare, lasciando che
solo alcune macchine possano usare il link di backup: p.e. non mi
interessa raggiungere le webcam se sono sul link LTE, ma devo poter
comunque raggiungere il monitoraggio della temperatura (e non avrei
abbastanza GB su LTE per tenere sempre il monitoraggio su quel link). Ma
questo temo che complichi notevolmente, e il traffico LTE dovrebbe
comunque essere sufficiente per 1-2 giorni.
--
Diego Zuccato
DIFA - Dip. di Fisica e Astronomia
Servizi Informatici
Alma Mater Studiorum - Università di Bologna
V.le Berti-Pichat 6/2 - 40127 Bologna - Italy
tel.: +39 051 20 95786
