giovedì, Novembre 21, 2024

VPN e failover

AreaNetworking.it
AreaNetworking.ithttps://www.areanetworking.it
AreaNetworking.it è tra i principali e più storici media italiani del settore ICT. Nato nel 2003 per opera di Federico Lagni, l'attività del gruppo è sia online - con il portale rivolto a figure professionali ICT (IT Manager, CTO, Security Specialist, Datacenter Engineer, etc) - sia offline con l'organizzazione delle più importanti conferenze italiane su temi tecnologici.
<Gabriele> Buongiorno
<Simone> Ciao Gabriele
<Gabriele> we Simone
<Gabriele> mi servirebbe una informazione circa il failover su VPN
<Andrea> Gabriele: te posta la domanda. Chi sa e soprattutto ha tempo ti risponderà…
<Gabriele> ok :)
<Gabriele> allora
<Gabriele> vorrei capire come, in caso di caduta di una linea, funziona la VPN in failover delle interfacce di rete
<Gabriele> ergo: ho un router con 2 canali, uno ADSL, uno ISDN
<Gabriele> quando cade l’ADSL lui switcha il gateway sulla Wan ISDN
<Alessandro> direi allo stesso modo di come lavora qualsiasi setup in failover
<Alessandro> si tratti di tunnel o no
<Gabriele> ecco
<Gabriele> aspetta Ale, fammi capire
<Gabriele> lavorando in VPN
<Alessandro> aspetta, devo riavviare
<Gabriele> ok
<Gabriele> continuo quando torni :)
<Alessandro> intanto, comunque, VPN è tanto generico da far venire mal di testa
<Alessandro> parti da quello che hai
<Alessandro> e su quello pensi
<Gabriele> eheh, aspetta
<Gabriele> non ho ancora nulla
<Alessandro> riavvio
<Gabriele> è questo che mi stimola a ragionare
Alessandro si è disconnesso (Quit: Sto andando via)
<Andrea> in genere vi è un ping gateway per indicare se la linea è su o meno con metrica diversa..
<Gabriele> ok Andrea
<Gabriele> ma come fanno gli apparati di entrambe le parti
<Gabriele> a sapere che il gateway remoto VPN ha cambiato IP pubblico?
<Gabriele> (quando cade l’ADSL per esempio)
<Andrea> ping
<Gabriele> ping?
<Gabriele> deve essere tutto automatico dico io
<Andrea> Gabriele: si, ping in automatico.. non lo fai te..
<Gabriele> ok
<Gabriele> comunque sarebbe meglio avere il router in mano e capire come si comporta
<Andrea> ovviamente se dialup si complica la cosa.. e devi pingare un ISP di mezzo fra i due
<Gabriele> a me serve avere la sicurezza che se cade un’interfaccia
<Gabriele> l’altra salga su in automatico ed è subito in VPN
<Gabriele> quindi gli apparati da qualche parte devono sapere come completare la tabella del routing VPN
<Andrea> Gabriele: questa possibilità c’è… non so cosa devi usare nè che linee hai.. però si può fare
<Gabriele> benissimo
<Gabriele> Andrea: sai dirmi come funziona un Radius server ?
<Gabriele> potrebbe aiutarmi ?
<Gabriele> io voglio usare questo
<Gabriele>

<Andrea> non conosco…
<Gabriele> dalle specifiche sembra un ottimo prodotto
<Gabriele> vorrei interrogare qualcuno per capire cosa succede quando da una delle due parti (o in entrambi) avviene il failover
<Gabriele> (o cosa può succedere)
<Andrea> come per failover delle linee
<Andrea> solo che hai una parte in più che è la parte remota..
<Andrea> te metti due metriche con distanza amministrativa diversa.. una con precedenza all’altra..
<Andrea> se va giù interroga la seconda e il traffico esce da questa..
<Andrea> per VPN ti potrei dire dei Fortinet nello specifico..
<Andrea> comunque non fanno nient’altro che fare dei ping ad intervalli stabiliti per verificare la connessione…
<Gabriele> mmh
<Gabriele> a me servirebbero dei ping che dicano al router remoto “guarda che sono io, ho cambiato IP”
<Gabriele> :)))
<Gabriele> Andrea, senti sai come funziona Radius ?
<Gabriele> bentornato Alessandro
<Gabriele> ponevo il quesito
<Gabriele> volevo capire come si comportano gli apparati che fanno VPN
<Gabriele> in caso di failover
<Alessandro> Gabriele, intanto devi vedere che tipo di VPN vuoi fare
<Alessandro> poi cosa ti serve che faccia come optional
<Gabriele> una VPN IPSec va benissimo
<Gabriele> l’optional è che quando va giu l’ADSL
<Gabriele> il router va su ISDN
<Gabriele> e cambia IP
<Gabriele> come faccio a informare l’altro punto VPN che ho un IP diverso?
<Maurizio> infatti mi sa che non si può fare senza l’ausilio di protocolli “intelligenti” tipo BGP
<Gabriele> grande Maurizio :)
<Gabriele> discutendo su un altro chan
<Maurizio> non ne sono certo al 100%
<Gabriele> mi suggerivano di fare DDNS
<Gabriele> al che ho pensato
<Gabriele> che se gli apparati mi permettono di specificare un host
<Maurizio> eh sì ma mica tutti i router accettano come endpoint nomi da tradurre in IP
<Gabriele> ecco
<Gabriele> in quel caso li
<Gabriele> potrei farmi un DNS a uso interno
<Maurizio> ci avevo pensato anche io per fare VPN con l’ufficio senza IP pubblico da casa
<Gabriele> e con un batch aggiorno la tabella
<Gabriele> però la vedo sporca
<Gabriele> vorrei sapere se c’è qualche service che sincronizza le table della VPN
<Alessandro> “intelligenti” tipo BGP…
<Alessandro> e che ha a che fare con il failover di una VPN?
<Alessandro> esistono le route map
<Gabriele> non so proprio
<Gabriele> non consoco BGP
<Alessandro> esistono protocolli apposta per gestire le interfacce che cadono
<Alessandro> tipo HSRP
<Alessandro> BGP c’entra niente
<Alessandro> è un proto di routing tra AS
<Gabriele> ah
<Alessandro> usato piu che altro dai providers e grosse organizzazioni
<Gabriele> allora i router dovrebbero avere supporto per HSRP?
<Alessandro> HSRP solo su Cisco
<Alessandro> ripeto, prima devi vedere che VPN fare
<Gabriele> :|
<Alessandro> cosa devi connettere
<Gabriele> usare Cisco mi costerebbe un sacco di soldi
<Alessandro> se hai una LAN centrale
<Alessandro> e tanti client
<Alessandro> che devono accedervi
<Gabriele> si
<Alessandro> stile “road warrior”
<Gabriele> a stella
<Alessandro> oppure due LAN
<Alessandro> unite da un tunnel criptato
<Gabriele> sede slave —- master
<Alessandro> ok
<Alessandro> magari dialup
<Alessandro> se hai una LAN e client remoti che si devono connettere
<Alessandro> io userei un router decente, magari un 1700 o 800
<Alessandro> e lato client hai diverse possibilità
<Gabriele> io volevo comprare un draytek
<Gabriele> per le sedi slave
<Alessandro> da un VPN client Cisco
<Alessandro> oddio
<Alessandro> quelli costano e servono a un cazzo
<Gabriele> vorrei risparmiare sull’investimento hardware
<Gabriele> aspetta, guarda
<Alessandro> hai detto “sedi” slave?
<Alessandro> ti sto tirando fuori con le pinze la topologia?
<Alessandro> io ero rimasto a una sede e tanti clients “singoli ” remoti
<Gabriele>
<Gabriele> allora
<Gabriele> una sede centrale
<Alessandro> dotata di gateway e firewall?
<Gabriele> 15 sedi slave in VPN
<Alessandro> o da dotare?
<Gabriele> da dotare
<Alessandro> ok
<Gabriele> ancora non esiste nulla
<Alessandro> dimensioni?
<Gabriele> domani ho i signori di Tiscali qui
<Gabriele> per capire cosa acquistare come linee
<Alessandro> 15 sedi vuol dire che l’hub
<Alessandro> deve aver un bell’apparatone
<Alessandro> niente tirchierie
<Alessandro> 15 tunnel sono già tantini
<Gabriele> si
<Alessandro> un concentratore VPN sarebbe il meglio
<Gabriele> la sede master deve gestire la VPN
<Gabriele> i slave solo la VPN verso la master
<Alessandro> sennò vai su *nix
<Alessandro> io metterei una roba seria tipo in sede
<Gabriele> anche io
<Gabriele> in sede devo avere una roba mega
<Alessandro> tipo un VPN concentrator?
<Gabriele> direi HDSL (o una ADSL 2+)
<Alessandro> PIX e Radius?
<Gabriele> e una ADSL piccola di backup
<Alessandro> si beh, a parte la connessione
<Alessandro> dico l’apparato
<Gabriele> cosa mi consigli ?
<Gabriele> voglio un apparato che oltre al fatto della linea di backup
<Alessandro> poi nelle sedi remote puoi anche fare dei piccoli *nix che gestiscono il tunnel
<Gabriele> mi dia QoS su VoIP
<Alessandro> con OpenVPN
<Gabriele> preferirei far fare tutto al router
<Gabriele> ADSL
<Alessandro> quanti client?
<Gabriele> io vorrei usare quel router perchè ha anche le porte FXS
<Alessandro> beh, un modulare gli puoi mettere le FXS
<Gabriele> infatti ora mando una mail ai signori di Draytek
<Gabriele> mi serve capire come si comporta la FXS in caso di mancato VoIP
<Gabriele> e come funziona nei loro routers il failover VPN
<Gabriele> Alessandro, il radius serve esclusivamente per l’accesso?
<Gabriele> vorrei capire se il router della sede
<Gabriele> ha la possibilità di acchiappare l’IP delle sedi slave
<Gabriele> e rimappare la VPN
<Gabriele> in modo tale che quando sulle slave va in failover
<Gabriele> lui automaticamente si aggiorna la tabella IP per fare VPN
<Gabriele> questo è il mio dubbio atroce :)
<Alessandro> il Radius serve per fare AAA
<Gabriele> quindi soltanto autenticazione di accesso
<Alessandro> quindi autentica
<Alessandro> autorizzazioni su vari livelli
<Gabriele> si ok
<Gabriele> quello che voglio fare io
<Alessandro> e accounting tra cui il logging
<Alessandro> Gabriele, a me la cosa sembra grossa
<Alessandro> ogni 2 minuti tiri fuori un pezzo nuovo
<Gabriele> ehehee
<Alessandro> capisci che è difficile
<Gabriele> si capisco
<Alessandro> devi avere tutto sottomano
<Gabriele> lo so
<Alessandro> vedere cosa devi fare
<Alessandro> numero di clients
<Alessandro> valutare la banda necessaria
<Gabriele> Hai ragione. Appena ho la situazione più chiara mi farò risentire e ne riparleremo. Intanto ti ringrazio moltissimo!
<Gabriele> la discussione mi è stata molto molto utile ;)

Articoli correlati

Noleggia una Tesla per il tuo evento ICT!

Categorie