Re: OpenVPN con backup
Grazie Marco. Sorry per il ritardo ma questo ed altri messaggi della lista erano finiti tra lo spam... Ora mi devo studiare i link interessantissimi che hai mandato. L'idea, alla fine, è che se ho due link VPN (uno per connessione) LAN-to-LAN e una connessione cade, quel gateway non sarà più raggiungibile e dovrebbe entrare in gioco il routing automatico sull'altro... Questo posso farlo su tutte le macchine critiche o con due connessioni OVPN (diventano parecchie...) o con i due client OVPN p.e. su due RPi (quindi indipendenti tra loro) che fanno da transparent bridge. C'è sempre da studiare :) Diego Il 10/08/2022 17:13, Marco Gaiarin ha scritto: Mandi! Diego Zuccato In chel di` si favelave... Qualcuno ha già configurato qualcosa di analogo? Non mi pare un uso troppo "strano", ma non trovo nulla :( Allora, a naso ti serve passare all'Advanced Routing, per poter gestire router multipli: https://lartc.org/ in particolare questo: https://lartc.org/howto/lartc.rpdb.multiple-links.html e ti serve uno script/accrocchio che, se la connettività cade, tiri su l'altra... -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: OpenVPN con backup
Mandi! Diego Zuccato In chel di` si favelave... > Qualcuno ha già configurato qualcosa di analogo? Non mi pare un uso > troppo "strano", ma non trovo nulla :( Allora, a naso ti serve passare all'Advanced Routing, per poter gestire router multipli: https://lartc.org/ in particolare questo: https://lartc.org/howto/lartc.rpdb.multiple-links.html e ti serve uno script/accrocchio che, se la connettività cade, tiri su l'altra... -- Berlusconi: "Da oggi sono a dieta" Il Paese lo è già da 4 anni (Il Ruggito del Coniglio)
Re: OpenVPN con backup
Il 02/08/2022 21:35, Mauro ha scritto: Ciao Mauro. Che configurazione suggerisci? ho utilizzato uno script che utilizza come meccanismo base lo stesso di molti router: un ping verso uno o due server remoti. Se falliscono, passo all'altra connessione. Sistema che ho usato anche io in passato, ma che mi ha sempre lasciato il dubbio di non utilizzare la rete al meglio. Dopotutto ARPA non era nata con la ridondanza hardcoded? Doversi ridurre a pingare per determinare lo stato di un link... mah... Eseguo il ping ogni due o tre minuti, anche meno, in modo che le sessioni attive restino in piedi. questo script gira su una macchina che stra tra la rete e i vari apparati esterni (anche nel mio caso ho situazioni in cui i router non possono essere sostituiti o smanazzati, quindi cerco di mettere tra gli apparati e la rete un qualche cosa di mio piu' gestibile). Però diventa un SPOF: se si brucia questa macchina, fine dei giochi. E se la sede in questione è a 400km da te, in montagna, magari in inverno, con la neve e nessun vicino che possa intervenire... -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: OpenVPN con backup
Il 02/08/2022 21:30, Diego Zuccato ha scritto: e fino qui tutto chiaro. Prassi consolidata e anche il pinguino peggio configurato riesce a tenerle in piedi con alternanza in caso di guasto. Che configurazione suggerisci? ho utilizzato uno script che utilizza come meccanismo base lo stesso di molti router: un ping verso uno o due server remoti. Se falliscono, passo all'altra connessione. Eseguo il ping ogni due o tre minuti, anche meno, in modo che le sessioni attive restino in piedi. questo script gira su una macchina che stra tra la rete e i vari apparati esterni (anche nel mio caso ho situazioni in cui i router non possono essere sostituiti o smanazzati, quindi cerco di mettere tra gli apparati e la rete un qualche cosa di mio piu' gestibile).
Re: OpenVPN con backup
Il 02/08/2022 21:02, Mauro ha scritto: Avendo da collegare più sedi geograficamente distribuite (e talvolta poco supervisionate) sarebbe utile avere in ogni sede due link: - master: ADSL/fibra, unmetered, normalmente attivo - backup: LTE, metered e con traffico abbastanza ridotto, quindi da usare quasi solo se l'altra connessione è giù Beh, tieni presente che per la ADSL c'è il router del provider (che talvolta non si può rimpiazzare, vedi FWA di Vodafone), mentre per LTE ho già diversi Mikrotik SXT. Quindi in caso di problemi, non posso semplicemente basarmi sulla mancanza del link: il router è comunque raggiungibile, è l'altro estremo a non esserlo... E con questo mi gioco una semplice configurazione con due default route a costo diverso :( e fino qui tutto chiaro. Prassi consolidata e anche il pinguino peggio configurato riesce a tenerle in piedi con alternanza in caso di guasto. Che configurazione suggerisci? Quello che vorrei è avere per ogni sede due client attivi (master e backup) verso il/un server, così se p.e. devo cambiare server/certificati/ecc posso farlo gradualmente, magari prima riconfigurando il client di backup e poi, quando quello è a posto, il principale, senza quasi interruzione. qui mi sono sono perso. non ho capito. Non voglio avere un solo client OVPN, poiché se va in crash lui la sede diventa irraggiungibile. Per questo, mentre un client può starsene in una VM insieme alle altre, l'altro se ne starà su un RPi o simile. io per consuetudine, sulla macchina che funge da firewall o una macchina del backend (dipende dalle situazioni) ho una vpn attiva verso un mio centro stella che raccoglie tutte le vpn. Openvpn riesce a stare su anche a pc spento, e quando cade una connessione, lui utilizza quella di backup che nel frattempo ha preso il posto della primaria. Però se (come mi è successo proprio 2 giorni dopo essere partito per le ferie) la scheda di rete dell'host di virtualizzazione inizia a dare i numeri (una e1000e... cosa c'è di più stabile???), ti sei giocato la sede anche se la linea è attiva. In questo modo indipendentemente dalla connessione ho modo di raggiungere la rete remota sempre. Quasi :) unica nota, il nodo che fa da master dell vpn e' replicato. nel caso vada giu, c'e' un nodo di backup sempre pronto a entrare in servizio e a sostituire il server vpn guasto. Non avendo la possibilita' di avere due macchine posizionate dietro lo stesso ip, gioco di dns. Beh, si possono anche specificare più server nella config dei client. :) Le connessioni dovrebbero venire instradate automaticamente sul link master, andando sul backup solo se il master è down. Le macchine delle diverse sedi dovrebbero potersi "vedere" tutte. intendi dire che indipendentemente dallo stato delle singole connessioni (master up o backup up) le vpn dovrebbero tenere il piu' possibile in modo da garantire la visibilita' delle varie reti? Esatto. L'ideale sarebbe se fosse possibile differenziare, lasciando che solo alcune macchine possano usare il link di backup: p.e. non mi interessa raggiungere le webcam se sono sul link LTE, ma devo poter comunque raggiungere il monitoraggio della temperatura (e non avrei abbastanza GB su LTE per tenere sempre il monitoraggio su quel link). Ma questo temo che complichi notevolmente, e il traffico LTE dovrebbe comunque essere sufficiente per 1-2 giorni. -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Re: OpenVPN con backup
Il 02/08/2022 10:24, Diego Zuccato ha scritto: Avendo da collegare più sedi geograficamente distribuite (e talvolta poco supervisionate) sarebbe utile avere in ogni sede due link: - master: ADSL/fibra, unmetered, normalmente attivo - backup: LTE, metered e con traffico abbastanza ridotto, quindi da usare quasi solo se l'altra connessione è giù e fino qui tutto chiaro. Prassi consolidata e anche il pinguino peggio configurato riesce a tenerle in piedi con alternanza in caso di guasto. Quello che vorrei è avere per ogni sede due client attivi (master e backup) verso il/un server, così se p.e. devo cambiare server/certificati/ecc posso farlo gradualmente, magari prima riconfigurando il client di backup e poi, quando quello è a posto, il principale, senza quasi interruzione. qui mi sono sono perso. non ho capito. io per consuetudine, sulla macchina che funge da firewall o una macchina del backend (dipende dalle situazioni) ho una vpn attiva verso un mio centro stella che raccoglie tutte le vpn. Openvpn riesce a stare su anche a pc spento, e quando cade una connessione, lui utilizza quella di backup che nel frattempo ha preso il posto della primaria. In questo modo indipendentemente dalla connessione ho modo di raggiungere la rete remota sempre. unica nota, il nodo che fa da master dell vpn e' replicato. nel caso vada giu, c'e' un nodo di backup sempre pronto a entrare in servizio e a sostituire il server vpn guasto. Non avendo la possibilita' di avere due macchine posizionate dietro lo stesso ip, gioco di dns. Le connessioni dovrebbero venire instradate automaticamente sul link master, andando sul backup solo se il master è down. Le macchine delle diverse sedi dovrebbero potersi "vedere" tutte. intendi dire che indipendentemente dallo stato delle singole connessioni (master up o backup up) le vpn dovrebbero tenere il piu' possibile in modo da garantire la visibilita' delle varie reti?
OpenVPN con backup
Ciao a tutti. Avendo da collegare più sedi geograficamente distribuite (e talvolta poco supervisionate) sarebbe utile avere in ogni sede due link: - master: ADSL/fibra, unmetered, normalmente attivo - backup: LTE, metered e con traffico abbastanza ridotto, quindi da usare quasi solo se l'altra connessione è giù Quello che vorrei è avere per ogni sede due client attivi (master e backup) verso il/un server, così se p.e. devo cambiare server/certificati/ecc posso farlo gradualmente, magari prima riconfigurando il client di backup e poi, quando quello è a posto, il principale, senza quasi interruzione. Le connessioni dovrebbero venire instradate automaticamente sul link master, andando sul backup solo se il master è down. Le macchine delle diverse sedi dovrebbero potersi "vedere" tutte. Qualcuno ha già configurato qualcosa di analogo? Non mi pare un uso troppo "strano", ma non trovo nulla :( Grazie. -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786