The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Настройка приоритетов для ipsec-туннелей на Amazon"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Оптимизация и Промышленные системы (Виртуализация)
Изначальное сообщение [ Отслеживать ]

"Настройка приоритетов для ipsec-туннелей на Amazon"  +/
Сообщение от cr1memail (ok), 10-Июн-20, 10:18 
Здравствуйте, есть виртуальные сервера на Амазоне, с маршрутизатора до него строится пара ipsec-туннелей. Однако есть еще с одного резервного маршрутизатора пара туннелей, если работают все 4 начинаются потери до амазоновских хостов. Со стороны амазона можно ли как-то приоритет задать на эти туннели? Может кто сталкивался?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Настройка приоритетов для ipsec-туннелей на Amazon"  +/
Сообщение от Licha Morada (ok), 10-Июн-20, 22:21 
> Здравствуйте, есть виртуальные сервера на Амазоне, с маршрутизатора до него строится пара
> ipsec-туннелей. Однако есть еще с одного резервного маршрутизатора пара туннелей, если
> работают все 4 начинаются потери до амазоновских хостов. Со стороны амазона
> можно ли как-то приоритет задать на эти туннели? Может кто сталкивался?

Ъ решение по Амазону, это динамическая маршрутизация с помощью BGP.
https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-redundant-...
https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingType...

Ответить | Правка | Наверх | Cообщить модератору

2. "Настройка приоритетов для ipsec-туннелей на Amazon"  +/
Сообщение от Licha Morada (ok), 11-Июн-20, 20:48 
А вот, кстати, сегодня кейс.
Клиент держит VPS в AWS, с 2-мя VPN до своего партнёра, 4 туннеля. Без BGP, вся маршрутизация статична, приоритет маршрутов или одной VPN над другой нигде не указан. Партнёр утверждает что на днях один из их каналов упал, вместе с одной из VPN, но всё отработало нормально. Клиент говорит что да, ничего не упало. График показывает что да, шёл траффик по одной VPN, потом пошёл по другой, потом опять пошёл по первой.

Мы подозреваем что партнёр темнит и они что-то там передёрнули, т.к. неделю назад тоже падало, само не поднялось. Клиент с партнёром и с его провайдером 4 часа ругались по Зуму, выясняя кто виноват и что делать. Пруфов нет.

Так что не однозначно. Не исключено, что AWS VPN как-то договорилась с Palo Alto партнёра. Будем саппорт AWS теребить, на предмет как оно должно себя вести без BGP.

Ответить | Правка | Наверх | Cообщить модератору

4. "Настройка приоритетов для ipsec-туннелей на Amazon"  +/
Сообщение от shadow_alone (ok), 14-Июн-20, 12:47 
если без BGP, то вы должны передергивать маршрут на AWS из одного туннеля в другой, и никак иначе.
на AWS не возможности выставлять вес маршрута.
То есть, если у вас 2*2 туннеля, то он будет идти по одному из них в одно время, по какому, не вы решаете, к сожалению, вернее вы решаете только то что идет с вашей стороны, и не то что возвращается.
Ответить | Правка | Наверх | Cообщить модератору

5. "Настройка приоритетов для ipsec-туннелей на Amazon"  +/
Сообщение от Licha Morada (ok), 14-Июн-20, 21:34 
Всё правильно. Я говорю, темнит партнёр.
Подозреваю, что прямо сейчас маршрутизация работает чисто случайно, и рано или поздно её опять обвалят.
Ответить | Правка | Наверх | Cообщить модератору

3. "Настройка приоритетов для ipsec-туннелей на Amazon"  +/
Сообщение от shadow_alone (ok), 14-Июн-20, 12:43 
Ну, во первых, в таких случаях лучше не использовать статическую маршрутизацию.
Во вторых, в AWS для BGP есть разные настройки, как именно будет работать пара туннелей, поддерживается и multipath.
Далее, вы не сообщили, как именно у вас происходит переключение master-backup - а судя по тому что у вас 2 маршрутизатора - хорошо бы знать как именно вы делаете переключение клиентов на второй.

В вашем случае лучше всего использовать динамику с BGP - и тогда ваши маршрутизаторы будут аннонсить вашу подсеть в AWS с одного из роутеров в один момент времени - и ничего пропадать точно не будет.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру