https://www.opennet.ru/openforum/vsluhforumID1/96233.html Доброго времени суток, aLL.<br><br>Имеется 2 инет- канала по 100мбит, оба с внешними IP. В сети имеются следующие сервисы, необходимые для доступа извне а именно: <br>- обычный сайт на 80 порту;<br>- второй сайт на 443 порту (самоподписанный SSL);<br>- порт для VPN;<br>- порт для asterisk;<br>- возможны дополнительные сервисы в будущем, какие - пока неизвестно.<br><br>На каждом из каналов шлюзом стоит pfSense. На серверах - Debian, CentOS. На данный момент все сервисы просто физически разнесены по разным каналам.<br><br>Каналы часто падают, порой, надолго, отказоустойчивость становится все важнее и важнее...<br>Подскажите, каким образом агрегировать эти два канала чтобы прозрачно для клиентов извне все сервисы работали? Чтобы извне все выглядело как обращение по одному конкретному имени/адресу, а дальше было агрегирование или, если какой-то канал лежит, выбор рабочего маршрута. То-есть, чтобы не было, как в случае с DNS RoundRobin - при обращении к IP, канал которого лежит, 30 сек ждем таймаута, повторный опрос DNS и идем по второму https://www.opennet.ru/openforum/vsluhforumID1/96233.html#29 Tue, 11 Aug 2015 09:25:42 GMT &gt; можно поставить машинку на том же дебиане из вне обьеденить оба Ip <br>&gt; на локалку, дальше просто проброс портов на нужные вам сервисы через <br>&gt; iptable, а пользователям сказать - не работает первый ip ломитесь на <br>&gt; второй. Т.к. в вашем случае вам ничего даже DNS не поможет. <br>&gt; Это надо решать провайдеру такую проблему. В принципе все решается через <br>&gt; IPtable кроме того, что на внешней стороне должен быть критически устойчивый <br>&gt; выход в инет. но эту проблему вы можете свалить на пользователей <br>&gt; дав им 2 ip. вместо доменного имени.<br><br>Как простейший вариант сейчас: мой шлюз с 2-мя входящими каналами, на нем ДНС с записями моих сервисов. Как я понимаю, если юзер обратился по "упавшему" адресу при повторном запросе или автоматом по таймауту (в зависимости от браузера) он таки получит адрес "рабочего" канала. То-есть, юзерам дается инструкция по типу "Если ошибка 404 - обновляете несколько раз страничку, если не срабатывает - лежат оба канала или сервисы". На данный момент это - программа-минимум.<br>Ибо https://www.opennet.ru/openforum/vsluhforumID1/96233.html#28 Tue, 11 Aug 2015 09:18:16 GMT &gt; Не так всё просто :( <br>&gt; Ну то есть доступ из интернета к твоим серверам через один или <br>&gt; другой или третий канал ты сделаешь...<br>&gt; А вот как наоборот - со стороны твоих сетей ... Нужен будет <br>&gt; аналог такого же VPS, для каждой сети локальный. И мы возвращаемся <br>&gt; к исходному вопросу :( <br><br>Да, как-то сложно все получается, не сообразил.<br>Пожалуй, для начала (ввиду простоты реализации) сделаю "отказоустойчивость" ДНСом, посмотрю, как оно поведет себя в реале на моих задачах. А позже, с более-менее нормализацией ситуации вокруг, буду двигаться к нормальным решениям, совместно с провайдерами, или чем-то из вышеизложенного всеми отписавшимися здесь. Главное - понятно где и куда рыть, что читать и сколько чего курить :)<br><br>Всем большое спасибо за помощь.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/96233.html#27 Fri, 07 Aug 2015 06:30:22 GMT можно поставить машинку на том же дебиане из вне обьеденить оба Ip на локалку, дальше просто проброс портов на нужные вам сервисы через iptable, а пользователям сказать - не работает первый ip ломитесь на второй. Т.к. в вашем случае вам ничего даже DNS не поможет. Это надо решать провайдеру такую проблему. В принципе все решается через IPtable кроме того, что на внешней стороне должен быть критически устойчивый выход в инет. но эту проблему вы можете свалить на пользователей дав им 2 ip. вместо доменного имени.<br> https://www.opennet.ru/openforum/vsluhforumID1/96233.html#26 Fri, 07 Aug 2015 06:29:48 GMT можно поставить машинку на том же дебиане из вне обьеденить оба Ip на локалку, дальше просто проброс портов на нужные вам сервисы через iptable, а пользователям сказать - не работает первый ip ломитесь на второй. Т.к. в вашем случае вам ничего даже DNS не поможет. Это надо решать провайдеру такую проблему. В принципе все решается через IPtable кроме того, что на внешней стороне должен быть критически устойчивый выход в инет. но эту проблему вы можете свалить на пользователей дав им 2 ip. <br> https://www.opennet.ru/openforum/vsluhforumID1/96233.html#25 Thu, 06 Aug 2015 15:59:11 GMT &gt; Я, может, "глупый вещь скажу", но: если я возьму, скажем, VPS, на <br>&gt; нем ставлю какой-нибудь pfSense, и через него делаю агрегирование своих каналов. <br><br>Не так всё просто :(<br><br>Ну то есть доступ из интернета к твоим серверам через один или другой или третий канал ты сделаешь... <br>А вот как наоборот - со стороны твоих сетей ... Нужен будет аналог такого же VPS, для каждой сети локальный. И мы возвращаемся к исходному вопросу :(<br> https://www.opennet.ru/openforum/vsluhforumID1/96233.html#24 Thu, 06 Aug 2015 06:22:44 GMT &gt; Я бы тоже подумал по поводу fake-ASN и прочая ...<br>&gt; В реальный интернет можно сделать шлюз, который всё замаскарадит :) <br><br>Я, может, "глупый вещь скажу", но: если я возьму, скажем, VPS, на нем ставлю какой-нибудь pfSense, и через него делаю агрегирование своих каналов. К этой же VPS привязываю свое доменное имя. То-есть эта VPS-ка будет, по сути, NAT-ить все запросы клиентов на мои реальные адреса и сервисы. Получаем нечто вроде промежуточного шлюза.<br>Можно и не агрегирование, а - отказоустойчивость: VPS-ка следит за каналами, в случае падения одного из них - перенаправляет всех на другой.<br>Все-таки у хостеров VPS-ок получше моего и со связью, и со спецами - они 24/7/365 смогут с минимальным простоем обеспечить.<br>Со стороны моей конторы выход в инет юзерам, asterisk и прочее будет как обычно: это - по этому каналу, это - по тому...<br><br>&gt; А насчёт домбабвэ ... это ваши визави от бессильной злобы изголяются, пусть <br>&gt; их! :) <br><br>Да бандера им судья<br><br> https://www.opennet.ru/openforum/vsluhforumID1/96233.html#23 Wed, 05 Aug 2015 17:50:02 GMT &gt;&gt;[оверквотинг удален] <br>&gt; А зачем в ДНР доступ в Интернет? Вам ДНРнет строить нужно бы в Донбабвэ.<br><br>Я бы тоже подумал по поводу fake-ASN и прочая ...<br>В реальный интернет можно сделать шлюз, который всё замаскарадит :)<br><br>А насчёт домбабвэ ... это ваши визави от бессильной злобы изголяются, пусть их! :) <br> https://www.opennet.ru/openforum/vsluhforumID1/96233.html#22 Tue, 04 Aug 2015 19:10:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt; По хорошему вам надо взять AS Number, блок IP, и настроить BGP.<br>&gt;&gt; Через любую среду что найдёте до множества аплинков которые согласны пириться <br>&gt;&gt; по BGP. Оптика, витуха, телефонная лапша через модем, лазерка, УКВ или <br>&gt;&gt; Wi-Fi канал - будет влиять только на лаг и трупут. Но <br>&gt;&gt; надёжность будет наивысшая.<br>&gt; Спасибо за ответ.<br>&gt; Да, это отличный, надежный вариант. Но - когда все норм вокруг. А <br>&gt; так как сейчас - я же даже заявки на AS подать <br>&gt; не смогу - "самопровозглашенные" же мы, ворох юридических проблем. И с <br>&gt; оплатой вопрос. И все то, что я описал ниже.<br><br>А зачем в ДНР доступ в Интернет? Вам ДНРнет строить нужно бы в Донбабвэ.<br><br> https://www.opennet.ru/openforum/vsluhforumID1/96233.html#21 Tue, 04 Aug 2015 19:00:10 GMT &gt; Удачи вам ребята, и Победы!<br><br>Спасибо, мы работаем над этим :)<br><br>&gt; По хорошему вам надо взять AS Number, блок IP, и настроить BGP. <br>&gt; Через любую среду что найдёте до множества аплинков которые согласны пириться <br>&gt; по BGP. Оптика, витуха, телефонная лапша через модем, лазерка, УКВ или <br>&gt; Wi-Fi канал - будет влиять только на лаг и трупут. Но <br>&gt; надёжность будет наивысшая.<br><br>Спасибо за ответ.<br>Да, это отличный, надежный вариант. Но - когда все норм вокруг. А так как сейчас - я же даже заявки на AS подать не смогу - "самопровозглашенные" же мы, ворох юридических проблем. И с оплатой вопрос. И все то, что я описал ниже.<br><br><br>