forum.lissyara.su

Собираюсь соорудить кластер VPN серверов на базе FreeBSD MPD. Все бы было хорошо но возникла проблема на которую не могу найти ответ.

Всем клиентам видаются динамические ip - с ними проблем нету, переконектился на другой сервер получил дургой ip.

Но если допустим нам нужно привязать человеку ip статически - здесь проблема, в кластере он конектится на произвольный сервер.

Пул ип равномерно распределен по серверам. Возможно ли как-то во время авторизации клиента на впн сервере передавать параметры для привязки к статическому ип?

настроить MPD на авторизацию через общий RADIUS
штатными средствами RADIUS можно выдавать фиксированный адрес, привязанный к параметрам авторизации

sch писал(а):настроить MPD на авторизацию через общий RADIUS
штатными средствами RADIUS можно выдавать фиксированный адрес, привязанный к параметрам авторизации

Я так понимаю что есил допустим у меня есть подсеть 192.168.0.0/24 и 3 ВПН сервера я могу спокойно через радиус выдать из этой подсети 192.168.0.1 на 1 ВПН, а 192.168.0.2 на 2 ВПН? так?

У меня реализовано так:
все VPN'щики ходят на vpn.domen.ua
С помощью view и acl bind'a для каждой группы сетей назначен собственный VPN сервак (vpn.domen.ua).
radius'a и прочих надстроек нет. После этого никаких проблем с настройкой и эксплуатацией небыло.

Gerk писал(а):У меня реализовано так:
все VPN'щики ходят на vpn.domen.ua
С помощью view и acl bind'a для каждой группы сетей назначен собственный VPN сервак (vpn.domen.ua).
radius'a и прочих надстроек нет. После этого никаких проблем с настройкой и эксплуатацией небыло.

В твоём случае допустим есть 2 подсети и 2 ВПНа.

1 подсеть идет на 1 ВПН
2 подсеть идет на 2 ВПН

Что будет если падает 1 ВПН? Я так понимаю 1 подсеть не сможет подключится и работать.

Мне нужно что бы падает ВПН, клиент переподключался на другой рабочий. Задача кластера балансировать и отказоустойчивость сервиса в целом.

Взаимный CARP VPN-серверов? radius - это фактор риска. ИМХО, очень не маленький.
Интереса ради, с помощью чего Вы свой кластер и балансировку строите?

Gerk писал(а):Взаимный CARP VPN-серверов? radius - это фактор риска. ИМХО, очень не маленький.
Интереса ради, с помощью чего Вы свой кластер и балансировку строите?

Проектируем сейчас. Знал бы что и как не задавал бы здесь вопросов.

Мы питаемся решить с помощью кластера следующие моменты:
1. Качество предоставляемой услуги
2. Простое масштабирование мощностей

С помощью DNS vpn.provider.net и н-количество серверов. Ну и собственно ограничение количества сессий на 1 узел, что бы небыло перекосов когда на один сервер 600-800 сессий, а ну дргой 100 сессий.

generik писал(а):Я так понимаю что есил допустим у меня есть подсеть 192.168.0.0/24 и 3 ВПН сервера я могу спокойно через радиус выдать из этой подсети 192.168.0.1 на 1 ВПН, а 192.168.0.2 на 2 ВПН? так?

да, именно так.

Выдавайте round-robin адреса днс серверов, и запустите какой-нить rip между роутерами и терминаторами, тогда будет пофиг на какой сервер клиент стерминируется.

LMik писал(а):Выдавайте round-robin адреса днс серверов, и запустите какой-нить rip между роутерами и терминаторами, тогда будет пофиг на какой сервер клиент стерминируется.

Что значит пофиг? надо еще что бы равномерно по узлам клиенты ложились )) А то будет черти что

generik писал(а):

sch писал(а):настроить MPD на авторизацию через общий RADIUS
штатными средствами RADIUS можно выдавать фиксированный адрес, привязанный к параметрам авторизации

Я так понимаю что есил допустим у меня есть подсеть 192.168.0.0/24 и 3 ВПН сервера я могу спокойно через радиус выдать из этой подсети 192.168.0.1 на 1 ВПН, а 192.168.0.2 на 2 ВПН? так?

сервер VPN отдаст клиенту тот адрес, который он получит от RADIUS.
ну почитай сценарии использования RADIUS для обслуживания vpn пользователей - быстрее будет самому в интернете найти даже русские тексты, чем через форум знания добывать.

generik писал(а):

LMik писал(а):Выдавайте round-robin адреса днс серверов, и запустите какой-нить rip между роутерами и терминаторами, тогда будет пофиг на какой сервер клиент стерминируется.

Что значит пофиг? надо еще что бы равномерно по узлам клиенты ложились )) А то будет черти что

Ну раундробин обычно достаточно ровно нагрузку раскладывает. Попробуйте.

sch писал(а):

generik писал(а):

sch писал(а):настроить MPD на авторизацию через общий RADIUS
штатными средствами RADIUS можно выдавать фиксированный адрес, привязанный к параметрам авторизации

Я так понимаю что есил допустим у меня есть подсеть 192.168.0.0/24 и 3 ВПН сервера я могу спокойно через радиус выдать из этой подсети 192.168.0.1 на 1 ВПН, а 192.168.0.2 на 2 ВПН? так?

сервер VPN отдаст клиенту тот адрес, который он получит от RADIUS.
ну почитай сценарии использования RADIUS для обслуживания vpn пользователей - быстрее будет самому в интернете найти даже русские тексты, чем через форум знания добывать.

Ну так а когда /24 кончится? сервера придется в разные сети растаскивать....

Gerk писал(а):Взаимный CARP VPN-серверов? radius - это фактор риска. ИМХО, очень не маленький.

зашибись
а как у тебя авторизуются пользователи VPN в случае нескольких серверов доступа? для каждого сервера поддерживаешь свою базу аккаунтов, одинаковую для всех серверов. Очень удобно, да.
Аналог для этой самобытной технологии - только RADIUS, общий для всех серверов VPN. Чтобы снизить фактор риска используют два сервера RADIUS. Любой сервис RAS умеет работать с двумя адресами RADIUS, в том числе MPD.

LMik писал(а):

sch писал(а):

generik писал(а):

sch писал(а):настроить MPD на авторизацию через общий RADIUS
штатными средствами RADIUS можно выдавать фиксированный адрес, привязанный к параметрам авторизации

Я так понимаю что есил допустим у меня есть подсеть 192.168.0.0/24 и 3 ВПН сервера я могу спокойно через радиус выдать из этой подсети 192.168.0.1 на 1 ВПН, а 192.168.0.2 на 2 ВПН? так?

сервер VPN отдаст клиенту тот адрес, который он получит от RADIUS.
ну почитай сценарии использования RADIUS для обслуживания vpn пользователей - быстрее будет самому в интернете найти даже русские тексты, чем через форум знания добывать.

Ну так а когда /24 кончится? сервера придется в разные сети растаскивать....

не понял к чему это
проблема нехватки адресов для клиентов как-то не пересекается с задачей бесперебойной работы сервера VPN.
это другая проблема, и как мне кажется, она решается независимо от того, используется RADIUS или нет для авторизации клиентов

А чего не понятного? 254 адреса может держать и один сервер вполне успешно. Человек дальше уже пошел, вот и спрашивает как организовать. Нет, ну конечно можно и 10 серверов, а лучше 25 на 254 адреса поставить. Будет щастье.

LMik писал(а):А чего не понятного? 254 адреса может держать и один сервер вполне успешно. Человек дальше уже пошел, вот и спрашивает как организовать. Нет, ну конечно можно и 10 серверов, а лучше 25 на 254 адреса поставить. Будет щастье.

Вопрос скорей в следующем. Допустим есть 2 сети 192.168.0.0/24 и 192.168.1.0/24 я могу выдвать одновременно из подсети 192.168.0.1/24 на 2 или более сервера?

sch писал(а):

Gerk писал(а):Взаимный CARP VPN-серверов? radius - это фактор риска. ИМХО, очень не маленький.

зашибись
а как у тебя авторизуются пользователи VPN в случае нескольких серверов доступа? для каждого сервера поддерживаешь свою базу аккаунтов, одинаковую для всех серверов. Очень удобно, да.
Аналог для этой самобытной технологии - только RADIUS, общий для всех серверов VPN. Чтобы снизить фактор риска используют два сервера RADIUS. Любой сервис RAS умеет работать с двумя адресами RADIUS, в том числе MPD.

Удобно невероятно, голова не болит на тему обновления radius'a, возможных багов в нём, DDoS'a, падений radius'a, нет проблем после обновления софта vpn'a или radius'a, на двух серверах на один запущенный сервис меньше, короче конфиг фаервола, нет зависимости от наличия связи между vpn'aми и радиус-серверами.

generik писал(а):Вопрос скорей в следующем. Допустим есть 2 сети 192.168.0.0/24 и 192.168.1.0/24 я могу выдвать одновременно из подсети 192.168.0.1/24 на 2 или более сервера?

Хоть на 10, всё будет работать.
И потом, что Вы так привязались к диапазону 192.168.0.0/16, можно и подсети из 10.0.0.0/8 взять.

generik писал(а):

LMik писал(а):А чего не понятного? 254 адреса может держать и один сервер вполне успешно. Человек дальше уже пошел, вот и спрашивает как организовать. Нет, ну конечно можно и 10 серверов, а лучше 25 на 254 адреса поставить. Будет щастье.

Вопрос скорей в следующем. Допустим есть 2 сети 192.168.0.0/24 и 192.168.1.0/24 я могу выдвать одновременно из подсети 192.168.0.1/24 на 2 или более сервера?

Да, при динамической маршрутизации - конечно. Вам все равно в итоге придется к ней прийти, так что можно начинать уже сейчас.

LMik писал(а):Да, при динамической маршрутизации - конечно. Вам все равно в итоге придется к ней прийти, так что можно начинать уже сейчас.

Кэп, не в обиду, думаю, что речь идёт о IP которые выдаются для point-to-point соединений (VPN, mpd.secret, ip pool),
причём тут динамическая маршрутизация?

Gerk писал(а):

LMik писал(а):Да, при динамической маршрутизации - конечно. Вам все равно в итоге придется к ней прийти, так что можно начинать уже сейчас.

Кэп, не в обиду, думаю, что речь идёт о IP которые выдаются для point-to-point соединений (VPN, mpd.secret, ip pool),
причём тут динамическая маршрутизация?

Два сервера в сети 192.168.0.0/24 с адресами 192.168.0.1 и 192.168.0.2 раздают адреса из сетей 192.168.1.0/24, 192.168.2.0/24, 192.168.x.0/24 и т.д.
В сети 192.168.0.0/24 живет еще 250 серверов, которым нужно знать через какой сервер 192.168.0.1 или 192.168.0.2 доступен адрес из сети 192.168.1.0/24, 192.168.2.0/24, 192.168.x.0/24 и т.д.
Что вы будете делать, кэп?

Ох, чего-то я в последнем посте отжег.
Позабыл про любимую quagga c OSPF и BGP. Остаётся надеяться, что за ночь не сдохнет от обиды.
Прошу прощения. Ушел спать

LMik писал(а):

generik писал(а):

LMik писал(а):А чего не понятного? 254 адреса может держать и один сервер вполне успешно. Человек дальше уже пошел, вот и спрашивает как организовать. Нет, ну конечно можно и 10 серверов, а лучше 25 на 254 адреса поставить. Будет щастье.

Вопрос скорей в следующем. Допустим есть 2 сети 192.168.0.0/24 и 192.168.1.0/24 я могу выдвать одновременно из подсети 192.168.0.1/24 на 2 или более сервера?

Да, при динамической маршрутизации - конечно. Вам все равно в итоге придется к ней прийти, так что можно начинать уже сейчас.

Я так понимаю что смотреть мне нужно в сторону OSPF?

generik писал(а):

LMik писал(а):

generik писал(а):

LMik писал(а):А чего не понятного? 254 адреса может держать и один сервер вполне успешно. Человек дальше уже пошел, вот и спрашивает как организовать. Нет, ну конечно можно и 10 серверов, а лучше 25 на 254 адреса поставить. Будет щастье.

Вопрос скорей в следующем. Допустим есть 2 сети 192.168.0.0/24 и 192.168.1.0/24 я могу выдвать одновременно из подсети 192.168.0.1/24 на 2 или более сервера?

Да, при динамической маршрутизации - конечно. Вам все равно в итоге придется к ней прийти, так что можно начинать уже сейчас.

Я так понимаю что смотреть мне нужно в сторону OSPF?

Ну это как хотите. Можно и в торону rip даже посмотреть. У меня межтерминаторов bgp например бегает. А бордер внутреннюю маршрутизацию по рипу ретранслирует остальным серверам.