| View previous topic :: View next topic |
| Author |
Message |
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
 Posted: Thu Nov 03, 2005 10:38 am Post subject: VPN ridondata |
 |
|
Sto un po' male a fare questo OT...
ma credo che sia cmq un argomento interessante.
Situazione:
2 uffici connessi in vpn
Necessità:
connessione di backup per tenere sempre up la vpn. (sopra gira un'app vitale)
Quindi servono altri 2 abbonamenti con altro provider. (uno per ogni sede)
Io ho in mente un paio di soluzioni ma visto che questo forum e' popolato da menti fervide evito di postarle subito e aspetto qualche suggerimento.
Voi come fareste?
Sono trooooppo OT? A me pare cmq un arg interessante.
Ciao e grazie a chiunque vorra' dire la sua.
_________________
while True:Gentoo() |
|
| Back to top |
|
 |
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Thu Nov 03, 2005 10:55 am Post subject: |
|
|
Non sarebbe meglio prendere in considerazione una linea dedicata ?
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Thu Nov 03, 2005 11:05 am Post subject: |
|
|
La dedicata non costa poco..
e 2 connessioni a bassa affidabilità ma alta velocità normalmente hanno performance migliori.
(anche perche' in questo ufficio sono abbastanza tirchi  )
Fastweb,attuale provider per entrambi gli uffici, normalmente non ha problemi.(pochissimi down fino ad oggi).
Questa linea di backup (anche non velocissima) servira' raramente ed e' + un backup psicologico
La dedicata tu la intendi da affiancare a FW o singola?
In ogni caso avrebbe un costo non basso.
Grazie
chris
_________________
while True:Gentoo() |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Thu Nov 03, 2005 11:12 am Post subject: |
|
|
| xchris wrote: | La dedicata tu la intendi da affiancare a FW o singola?
In ogni caso avrebbe un costo non basso.
|
Pensavo affiancata a FW ma impostata come connessione "primaria" e lasciare a FW il ruolo di backup.
Sono conscio del prezzo generalmente elevato per una soluzione simile ma se l'applicazione è vitale direi che si dovrebbe almeno prendere in considerazione qualche preventivo per una "dedicata".
Se comunque procedete sulla linea della doppia vpn penso possa essere discretamente efficace ma mi pare (e sottolineo il "mi pare") che normalmente i contratti con fw o altri gestori non contemplino la modalità always-on mentre una dedicata si paga anche per questa sicurezza aggiuntiva.
P.S. anche io lo trovo un argomento interessante visto che è un po' che anche io gioco con una vpn anche se purtroppo la mia adsl a casa arriva solo a 50 k/s in upstream e quindi i tempi di trasferimento mi sembrano biblici (in downstream adesso sono a 4 Mbit/s)...
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Thu Nov 03, 2005 11:23 am Post subject: |
|
|
tutte considerazioni valide..
ma il punto e' che per avere un down entrambi i provider
,uno su fibra e uno su doppino (dsl)) ,dovrebbero crollare e proprio per la differente tipologia di connessione e' un evento abbastanza improbabile.
... o per lo meno.. la probabilità è suff bassa da non giustificare un esborso per una linea dedicata.
Tieni poi conto che le extra connessioni sarebbero fatte con lo stesso provider in modo tale che anche in caso di network-split al 99% dei casi la vpn rimarrebbe up. (motivo per cui con fastweb fino ad oggi non hanno avuto problemi)
Tecnicamente cio' che proponi e' bello,funzionale e affidabile... ma il fattore costo e' importante.
10x
ciao
_________________
while True:Gentoo() |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Thu Nov 03, 2005 11:41 am Post subject: |
|
|
| xchris wrote: | Tecnicamente cio' che proponi e' bello,funzionale e affidabile... ma il fattore costo e' importante.
|
Il fatto è che anche la necessità di avere un servizio sempre disponibile è importante e io non posso valutare quanto effettivamente sia "vitale" per voi.
Al momento lavoro in un grosso ospedale e quando loro dicono che un servizio è vitale significa dedicare 3 server in cluster con un gruppo di continuità dedicato e altre precauzioni al limite del paranoico.
Ciò nonostante un paio di mesi fà il cluster è crollato lo stesso (sembrava di guardare un formicaio per come correvano tutti come pazzi  )
Se la mia vita fosse in gioco penso che non baderei a spese e per me è questo il significato di vitale 
Suppongo quindi che implementerai la VPD "ridondante" ma come fai a stabilire dove deve passare la connessione ? ping e modifica del route in caso di linea down ?
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Thu Nov 03, 2005 11:57 am Post subject: |
|
|
bhe "vitale" in ambito ospedaliero ha significato diverso direi 
e' proprio sul metodo di implementazione che ascoltavo volentieri altre opinioni.
l'idea + semplice e veloce e' quella di avere sui 2 firewall una rotta extra per la connessione DSL.
Ufficio1: rotta x ip DSL ufficio2 verso IP router DSL
Tengo sempre attive le 2 vpn e intrado il traffico dalla/verso la lan verso uno dei 2 router
(e faccio periodicamente dei test di connettività)
Altrimenti potrei optare per 2 vpn e un bridge... ma non ho idea di come si comporti in termini di prestazioni.
ciauz
_________________
while True:Gentoo() |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Thu Nov 03, 2005 1:24 pm Post subject: |
|
|
| xchris wrote: | bhe "vitale" in ambito ospedaliero ha significato diverso direi
|
Il fatto è che non sapendo in che ambito lavori tu non ho modo di valutare quanto significhi per voi "vitale"
| xchris wrote: |
Tengo sempre attive le 2 vpn e intrado il traffico dalla/verso la lan verso uno dei 2 router
(e faccio periodicamente dei test di connettività)
|
Questa idea mi piace, purtroppo stò iniziando da poco a sperimentare e quindi dal punto di vista delle prestazioni non saprei cosa suggerirti ...
Cmq l'argomento mi interessa e vedrò se mi viene in mente qualche soluzione alternativa 
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
codadilupo
Advocate
Joined: 05 Aug 2003
Posts: 3135
|
| Posted: Thu Nov 03, 2005 3:34 pm Post subject: |
|
|
Dici che la soluzione "quando cade la linea ci si prende un giorno di ferie" non é proponibile, eh ?
Ad ogni modo, non ho capito bene lo scenario:
1) 4 connessioni, due vpn e balancing tra queste
oppure
2) 4 connessioni, due vpn e switch da una vpn all'altra quando la prima cade
In entrambi i casi, credo che la grosa rottura di balle sia scrivere il software che va in mezzo. In emtrambi i casi, cmq, tieni conto che non hai un raddoppiamento di banda, nel caso tu faccia balancing, per cui non ne terrei conto per la scelta.
Coda |
|
| Back to top |
|
|
Kernel78
Moderator
Joined: 24 Jun 2005
Posts: 3654
|
| Posted: Thu Nov 03, 2005 3:39 pm Post subject: |
|
|
A quanto ho capito io la situazione è questa | Quote: | | 2) 4 connessioni, due vpn e switch da una vpn all'altra quando la prima cade |
e (sempre a quanto ho capito io) servirebbe a garantire che il servizio sia sempre raggiungibile e quindi il mancato raddoppiamento della banda non dovrebbe essere un problema.
_________________
Le tre grandi virtù di un programmatore: pigrizia, impazienza e arroganza. (Larry Wall).
Prima di postare un file togli i commenti con | Code: | | grep -vE '(^[[:space:]]*($|(#|!|;|//)))' |
|
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Thu Nov 03, 2005 3:45 pm Post subject: |
|
|
si infatti..
4 cnx e 1 vpn attiva (che poi siano 2 dipende dal modo in cui l'implemento)
per switchare e fare i test di connettività non e' un problema..
Le prestazioni non sono importanti anche perche' in condizioni normali si viaggia a 10mbit/s (- 7% circa) e solo in caso "sfigato" si viaggia in DSL mode.
Ma l'importante e' che l'applicazione che viaggia su vpn sia up...
poi se in caso di problemi va + piano... AMEN non e' un problema.
(farei cmq delle DSL da 512kbit/s in UPSTREAM)
ciauz
EDIT: cmq volendo la banda potrebbe essere ampliata... ma preferisco la strada pulita,liscia e funzionante...
_________________
while True:Gentoo() |
|
| Back to top |
|
|
makoomba
Bodhisattva
Joined: 03 Jun 2004
Posts: 1856
|
| Posted: Thu Nov 03, 2005 4:00 pm Post subject: |
|
|
premetto che ho scarsa esperienza di openvpn.
se crei un bridge su i 2 tunnel, assegnando quindi un solo indirizzo per sede, non avresti un unico collegamento su entrambe le linee ? |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Thu Nov 03, 2005 4:10 pm Post subject: |
|
|
questa era la mia idea...di partenza
ma non ho idea di come si comporti con 2 linee fortemente sbilanciate. (dsl vs fibra)
sarebbe da testare ma non e' possibile fare test dal cliente....
cmq a occhio e' la soluzione + elegante e con meno sbattimenti..
ciao
_________________
while True:Gentoo() |
|
| Back to top |
|
|
makoomba
Bodhisattva
Joined: 03 Jun 2004
Posts: 1856
|
| Posted: Thu Nov 03, 2005 4:24 pm Post subject: |
|
|
| xchris wrote: | questa era la mia idea...di partenza
ma non ho idea di come si comporti con 2 linee fortemente sbilanciate. (dsl vs fibra) |
dici che l'algoritmo di bridging potrebbe scazzare bilanciando il carico su due link molto diversi ?
dovresti provare.
in ogni caso, anche rimuovendo un link dal bridge, il collegamento resterebbe in piedi.
se dovessi avere problemi con entrambe le linee attive, puoi mantenere il setup e utilizzare $scriptino che rimove/aggiunge il link appropriato. |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Thu Nov 03, 2005 4:27 pm Post subject: |
|
|
| makoomba wrote: |
dici che l'algoritmo di bridging potrebbe scazzare bilanciando il carico su due link molto diversi ?
dovresti provare.
|
boh
| makoomba wrote: |
in ogni caso, anche rimuovendo un link dal bridge, il collegamento resterebbe in piedi.
se dovessi avere problemi con entrambe le linee attive, puoi mantenere il setup e utilizzare $scriptino che rimove/aggiunge il link appropriato. |
si credo che sara' questo il mio approccio.
Il punto e' che non mi posso permettere dei malfunzionamenti anche temporanei.
Vedro' di far partire il cervello e cerchero' di investigare per la soluzione vpn-bridge che e' molto cool
grazie
ciao
_________________
while True:Gentoo() |
|
| Back to top |
|
|
|
Forum italiano (Italian) 
