Резервирование стандартного VPN через IPSEC

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
kdesys
рядовой
Сообщения: 20
Зарегистрирован: 2008-09-02 17:49:47

Резервирование стандартного VPN через IPSEC

Непрочитанное сообщение kdesys » 2014-04-07 17:33:02

Здравствуйте.

Имеется Головной офис и 5 филиалов
Настроен VPN через IPSEC между Головным офисом и филиалами по инструкции: http://www.freebsd.org/doc/ru_RU.KOI8-R ... ipsec.html.

Сейчас проводятся резервные каналы связи в каждый филиал.

Вопрос, как всё настроить и руками переключать каналы связи?

в /etc/rc.conf сейчас так:

Код: Выделить всё

gif_interfaces="gif0 gif1 gif2 gif3 gif4"
gifconfig_gif0="10.11.17.1 10.11.17.3"
ifconfig_gif0="inet 192.168.0.254 192.168.1.254 netmask 255.255.255.0"
gifconfig_gif1="10.11.17.1 10.11.17.7"
ifconfig_gif1="inet 192.168.0.254 192.168.2.254 netmask 255.255.255.0"
gifconfig_gif2="10.11.17.1 10.11.17.6"
ifconfig_gif2="inet 192.168.0.254 192.168.6.254 netmask 255.255.255.0"
gifconfig_gif3="10.11.17.1 10.11.17.2"
ifconfig_gif3="inet 192.168.0.254 192.168.7.254 netmask 255.255.255.0"
gifconfig_gif4="10.11.17.1 10.11.17.4"
ifconfig_gif4="inet 192.168.0.254 192.168.8.254 netmask 255.255.255.0"
10.11.17.0/24 - ip адреса смотрящие в сеть провайдера 1
10.11.18.0/24 - ip адреса смотрящие в сеть провайдера 2

мне видится следующая настройка на стороне сервера (на примере одного филиала):

Код: Выделить всё

gifconfig_gif0="10.11.17.1 10.11.17.3"
ifconfig_gif0="inet 192.168.0.254 192.168.1.254 netmask 255.255.255.0"
gifconfig_gif10="10.11.18.1 10.11.18.3"
ifconfig_gif10="inet 192.168.0.254 192.168.1.254 netmask 255.255.255.0"
как быть с маршрутизацией?

в /etc/rc.conf прописано:

Код: Выделить всё

static_routes="ipsec1 ..."
route_ipsec1="-net 192.168.1.0 192.168.1.254 255.255.255.0"
в таблице маршрутизации сейчас так:

Код: Выделить всё

192.168.1.0/24     192.168.1.254      UGS         0  1775018   gif0
192.168.1.254      192.168.0.254      UH          1       19   gif0
просто менять маршрут командой:
route change -net 192.168.1.0/24 -iface gif0 или route change -net 192.168.1.0/24 -iface gif10 ?

Или вообще всё не правильно и нужно делать по другому?

У кого есть опыт реализации, направьте на путь истинный пожалуйста.
Идеально, если найдётся толковый мануал с подобной реализацией.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

Re: Резервирование стандартного VPN через IPSEC

Непрочитанное сообщение gumeniuc » 2014-04-08 17:14:46

не понимаю, чем всех так завлекают эти gif интерфейсы, и без них всё работает.
у Вас возникнет проблема при настройке, т.к. у двух пар пиров будет одинаковый encryption domain.
Да шо ему сделается...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Резервирование стандартного VPN через IPSEC

Непрочитанное сообщение kharkov_max » 2014-04-18 20:08:00

Думаю что вам нужно поднять quagga, которая будет рулить маршрутизацией.
Но интерфейсы quagga соеденить через подсеть которой у вас нет.
К примеру 192.168.240.1 192.168.240.2 и т.д.

Соотвтетсвенно придется перенастроить немного setkey и racoon.