Ciao, 2012/12/27 Giuseppe Paterno' <[email protected]>
> Ariciao :) sto valutando pfsense per rimpiazzare la mia attuale soluzione > di vpn fatta con routers in active/standby con gre su ipsec e ripv2 (non > ridete :). > > Per ogni sito (tre) vorrei avere una coppia di sistemi in fully meshed con > gli altri. > > Tenendo in considerazione che i siti possono crescere, le domande sono: > 1) Che tipo di vpn? Openvpn o ipsec? > Sia OpenVPN che IPSec sono fondamentalmente punto-punto. Per una soluzione full-mesh e' indispensabile fare 3 VPN: A <-> B A <-> C B <-> C > 2) Le vpn dovrebbero partire dai due nodi contemporaneamente verso l'ip > "virtuale" o verso i fisici (aumentando la complessita' del mesh)? > Verso i fisici. > 3) Che protocollo di routing adottare? Rip mi sembra una chiavica e ospf > complesso, mi sollazza interior bgp > L' ibgp e' nato per scopi diversi da quello che devi fare tu. Non penso nemmeno che sia necessario un algoritmo di routing in effetti... Le vpn (sia che siano fatte con OpenVPN o IPSec, prevedono che nelle tabelle di routing dei router vengano automaticamente inserite le rotte statiche per le reti remote rendendo superfluo un algoritmo di routing. Il routing potrebbe avere senso solo nel caso in cui puo' verificarsi che un ipotetico sito A veda solo il sito B e che il sito B veda sia A che C. Se le vpn sono su internet e' quasi impossibile che si verifichi tale situazione. Nel 99,9 % dei casi i guasti si verificano all'ultimo miglio con il conseguente isolamento totale di uno dei nodi. In altre parole se A vede solo B e' quasi impossibile che B veda sia A che C. > Esperienze e suggerimenti sono graditi :) > Ciao ciao, > Gippa > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > > Spero di non averti confuso le idee. Ciao. Antonio.
________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
