Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
VPN ridondata
View unanswered posts
View posts from last 24 hours
View posts from last 7 days

 
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) Forum di discussione italiano
View previous topic :: View next topic  
Author Message
xchris
Advocate
Advocate


Joined: 10 Jul 2003
Posts: 2824

PostPosted: Thu Nov 03, 2005 10:38 am    Post subject: VPN ridondata Reply with quote

Sto un po' male a fare questo OT...
ma credo che sia cmq un argomento interessante.

Situazione:
2 uffici connessi in vpn

Necessità:
connessione di backup per tenere sempre up la vpn. (sopra gira un'app vitale)
Quindi servono altri 2 abbonamenti con altro provider. (uno per ogni sede)

Io ho in mente un paio di soluzioni ma visto che questo forum e' popolato da menti fervide evito di postarle subito e aspetto qualche suggerimento.

Voi come fareste?

Sono trooooppo OT? A me pare cmq un arg interessante.

Ciao e grazie a chiunque vorra' dire la sua.
_________________
while True:Gentoo()
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3654

PostPosted: Thu Nov 03, 2005 10:55 am    Post subject: Reply with quote

Non sarebbe meglio prendere in considerazione una linea dedicata ?
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
xchris
Advocate
Advocate


Joined: 10 Jul 2003
Posts: 2824

PostPosted: Thu Nov 03, 2005 11:05 am    Post subject: Reply with quote

La dedicata non costa poco..
e 2 connessioni a bassa affidabilità ma alta velocità normalmente hanno performance migliori.
(anche perche' in questo ufficio sono abbastanza tirchi :D)

Fastweb,attuale provider per entrambi gli uffici, normalmente non ha problemi.(pochissimi down fino ad oggi).
Questa linea di backup (anche non velocissima) servira' raramente ed e' + un backup psicologico :D

La dedicata tu la intendi da affiancare a FW o singola?
In ogni caso avrebbe un costo non basso.

Grazie
chris
_________________
while True:Gentoo()
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3654

PostPosted: Thu Nov 03, 2005 11:12 am    Post subject: Reply with quote

xchris wrote:
La dedicata tu la intendi da affiancare a FW o singola?
In ogni caso avrebbe un costo non basso.

Pensavo affiancata a FW ma impostata come connessione "primaria" e lasciare a FW il ruolo di backup.
Sono conscio del prezzo generalmente elevato per una soluzione simile ma se l'applicazione è vitale direi che si dovrebbe almeno prendere in considerazione qualche preventivo per una "dedicata".

Se comunque procedete sulla linea della doppia vpn penso possa essere discretamente efficace ma mi pare (e sottolineo il "mi pare") che normalmente i contratti con fw o altri gestori non contemplino la modalità always-on mentre una dedicata si paga anche per questa sicurezza aggiuntiva.

P.S. anche io lo trovo un argomento interessante visto che è un po' che anche io gioco con una vpn anche se purtroppo la mia adsl a casa arriva solo a 50 k/s in upstream e quindi i tempi di trasferimento mi sembrano biblici (in downstream adesso sono a 4 Mbit/s)...
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
xchris
Advocate
Advocate


Joined: 10 Jul 2003
Posts: 2824

PostPosted: Thu Nov 03, 2005 11:23 am    Post subject: Reply with quote

tutte considerazioni valide..
ma il punto e' che per avere un down entrambi i provider
,uno su fibra e uno su doppino (dsl)) ,dovrebbero crollare e proprio per la differente tipologia di connessione e' un evento abbastanza improbabile.
... o per lo meno.. la probabilità è suff bassa da non giustificare un esborso per una linea dedicata.

Tieni poi conto che le extra connessioni sarebbero fatte con lo stesso provider in modo tale che anche in caso di network-split al 99% dei casi la vpn rimarrebbe up. (motivo per cui con fastweb fino ad oggi non hanno avuto problemi)

Tecnicamente cio' che proponi e' bello,funzionale e affidabile... ma il fattore costo e' importante.

10x
ciao
_________________
while True:Gentoo()
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3654

PostPosted: Thu Nov 03, 2005 11:41 am    Post subject: Reply with quote

xchris wrote:
Tecnicamente cio' che proponi e' bello,funzionale e affidabile... ma il fattore costo e' importante.

Il fatto è che anche la necessità di avere un servizio sempre disponibile è importante e io non posso valutare quanto effettivamente sia "vitale" per voi.
Al momento lavoro in un grosso ospedale e quando loro dicono che un servizio è vitale significa dedicare 3 server in cluster con un gruppo di continuità dedicato e altre precauzioni al limite del paranoico.
Ciò nonostante un paio di mesi fà il cluster è crollato lo stesso (sembrava di guardare un formicaio per come correvano tutti come pazzi :lol: )

Se la mia vita fosse in gioco penso che non baderei a spese e per me è questo il significato di vitale :wink:

Suppongo quindi che implementerai la VPD "ridondante" ma come fai a stabilire dove deve passare la connessione ? ping e modifica del route in caso di linea down ?
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
xchris
Advocate
Advocate


Joined: 10 Jul 2003
Posts: 2824

PostPosted: Thu Nov 03, 2005 11:57 am    Post subject: Reply with quote

bhe "vitale" in ambito ospedaliero ha significato diverso direi :)

e' proprio sul metodo di implementazione che ascoltavo volentieri altre opinioni. :)

l'idea + semplice e veloce e' quella di avere sui 2 firewall una rotta extra per la connessione DSL.
Ufficio1: rotta x ip DSL ufficio2 verso IP router DSL

Tengo sempre attive le 2 vpn e intrado il traffico dalla/verso la lan verso uno dei 2 router
(e faccio periodicamente dei test di connettività)

Altrimenti potrei optare per 2 vpn e un bridge... ma non ho idea di come si comporti in termini di prestazioni.

ciauz
_________________
while True:Gentoo()
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3654

PostPosted: Thu Nov 03, 2005 1:24 pm    Post subject: Reply with quote

xchris wrote:
bhe "vitale" in ambito ospedaliero ha significato diverso direi :)

Il fatto è che non sapendo in che ambito lavori tu non ho modo di valutare quanto significhi per voi "vitale" :wink:
xchris wrote:

Tengo sempre attive le 2 vpn e intrado il traffico dalla/verso la lan verso uno dei 2 router
(e faccio periodicamente dei test di connettività)

Questa idea mi piace, purtroppo stò iniziando da poco a sperimentare e quindi dal punto di vista delle prestazioni non saprei cosa suggerirti ...
Cmq l'argomento mi interessa e vedrò se mi viene in mente qualche soluzione alternativa 8)
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
codadilupo
Advocate
Advocate


Joined: 05 Aug 2003
Posts: 3135

PostPosted: Thu Nov 03, 2005 3:34 pm    Post subject: Reply with quote

Dici che la soluzione "quando cade la linea ci si prende un giorno di ferie" non é proponibile, eh ;-) ?
Ad ogni modo, non ho capito bene lo scenario:

1) 4 connessioni, due vpn e balancing tra queste

oppure

2) 4 connessioni, due vpn e switch da una vpn all'altra quando la prima cade

:?:

In entrambi i casi, credo che la grosa rottura di balle sia scrivere il software che va in mezzo. In emtrambi i casi, cmq, tieni conto che non hai un raddoppiamento di banda, nel caso tu faccia balancing, per cui non ne terrei conto per la scelta.

Coda
Back to top
View user's profile Send private message
Kernel78
Moderator
Moderator


Joined: 24 Jun 2005
Posts: 3654

PostPosted: Thu Nov 03, 2005 3:39 pm    Post subject: Reply with quote

A quanto ho capito io la situazione è questa
Quote:
2) 4 connessioni, due vpn e switch da una vpn all'altra quando la prima cade

e (sempre a quanto ho capito io) servirebbe a garantire che il servizio sia sempre raggiungibile e quindi il mancato raddoppiamento della banda non dovrebbe essere un problema.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con
Code:
grep -vE '(^[[:space:]]*($|(#|!|;|//)))'
Back to top
View user's profile Send private message
xchris
Advocate
Advocate


Joined: 10 Jul 2003
Posts: 2824

PostPosted: Thu Nov 03, 2005 3:45 pm    Post subject: Reply with quote

si infatti..

4 cnx e 1 vpn attiva (che poi siano 2 dipende dal modo in cui l'implemento)

per switchare e fare i test di connettività non e' un problema..
Le prestazioni non sono importanti anche perche' in condizioni normali si viaggia a 10mbit/s (- 7% circa) e solo in caso "sfigato" si viaggia in DSL mode.

Ma l'importante e' che l'applicazione che viaggia su vpn sia up...
poi se in caso di problemi va + piano... AMEN non e' un problema.
(farei cmq delle DSL da 512kbit/s in UPSTREAM)

ciauz

EDIT: cmq volendo la banda potrebbe essere ampliata... ma preferisco la strada pulita,liscia e funzionante...
_________________
while True:Gentoo()
Back to top
View user's profile Send private message
makoomba
Bodhisattva
Bodhisattva


Joined: 03 Jun 2004
Posts: 1856

PostPosted: Thu Nov 03, 2005 4:00 pm    Post subject: Reply with quote

premetto che ho scarsa esperienza di openvpn.

se crei un bridge su i 2 tunnel, assegnando quindi un solo indirizzo per sede, non avresti un unico collegamento su entrambe le linee ?
Back to top
View user's profile Send private message
xchris
Advocate
Advocate


Joined: 10 Jul 2003
Posts: 2824

PostPosted: Thu Nov 03, 2005 4:10 pm    Post subject: Reply with quote

questa era la mia idea...di partenza
ma non ho idea di come si comporti con 2 linee fortemente sbilanciate. (dsl vs fibra)

sarebbe da testare ma non e' possibile fare test dal cliente....

cmq a occhio e' la soluzione + elegante e con meno sbattimenti..
ciao
_________________
while True:Gentoo()
Back to top
View user's profile Send private message
makoomba
Bodhisattva
Bodhisattva


Joined: 03 Jun 2004
Posts: 1856

PostPosted: Thu Nov 03, 2005 4:24 pm    Post subject: Reply with quote

xchris wrote:
questa era la mia idea...di partenza
ma non ho idea di come si comporti con 2 linee fortemente sbilanciate. (dsl vs fibra)

dici che l'algoritmo di bridging potrebbe scazzare bilanciando il carico su due link molto diversi ?
dovresti provare.
in ogni caso, anche rimuovendo un link dal bridge, il collegamento resterebbe in piedi.
se dovessi avere problemi con entrambe le linee attive, puoi mantenere il setup e utilizzare $scriptino che rimove/aggiunge il link appropriato.
Back to top
View user's profile Send private message
xchris
Advocate
Advocate


Joined: 10 Jul 2003
Posts: 2824

PostPosted: Thu Nov 03, 2005 4:27 pm    Post subject: Reply with quote

makoomba wrote:

dici che l'algoritmo di bridging potrebbe scazzare bilanciando il carico su due link molto diversi ?
dovresti provare.

boh :)

makoomba wrote:

in ogni caso, anche rimuovendo un link dal bridge, il collegamento resterebbe in piedi.
se dovessi avere problemi con entrambe le linee attive, puoi mantenere il setup e utilizzare $scriptino che rimove/aggiunge il link appropriato.


si credo che sara' questo il mio approccio.
Il punto e' che non mi posso permettere dei malfunzionamenti anche temporanei.

Vedro' di far partire il cervello e cerchero' di investigare per la soluzione vpn-bridge che e' molto cool :)
grazie :)

ciao
_________________
while True:Gentoo()
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index Forum italiano (Italian) Forum di discussione italiano All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum