Linux GW a její záloha?

Jenda

Re:Linux GW a její záloha?
« Odpověď #15 kdy: 28. 01. 2013, 15:38:45 »
RUM to napsal dobře, používám to taky tak a výpadku GW jsem si všiml až když chcípla i ta záložní ;D
Můžeš to trošku upřesnit? Nějak jsem z jeho popisu nepochopil, jak přesvědčí o dvou routerech ISP uplinku - to musí ISP specificky umět, ne?


NAT

Re:Linux GW a její záloha?
« Odpověď #16 kdy: 28. 01. 2013, 16:57:12 »
RUM to napsal dobře, používám to taky tak a výpadku GW jsem si všiml až když chcípla i ta záložní ;D
Můžeš to trošku upřesnit? Nějak jsem z jeho popisu nepochopil, jak přesvědčí o dvou routerech ISP uplinku - to musí ISP specificky umět, ne?

Nejspíš ISP dá každému z těch routerů jinou IP adresu (což by pro ISP nemělo být nic extra složitého) a routery provádějí IP masquerading (SNAT).

Bla

Re:Linux GW a její záloha?
« Odpověď #17 kdy: 28. 01. 2013, 17:28:44 »
Mě to funguje i bez maškarády.
Mám dvě vstupní linky, protože nechci mít slabé místo na lince, na konci každé linky je GW s vlastní veřejnou IP a ve veřejných DNS je záznam pro obě (záloha má vyšší cenu). DHCP ve vnitřní síti se pak chová tak, jak to RUM napsal.
Chtěl jsem to extra jednoduše a tohle funguje.
DHCP běží jen na hlavní stroji s dlouhou lease time, na druhém je skript, který kontroluje jestli hlavní DHCP běží a pokud ne, spustí vlastní DHCP s minimalistickým nekolizním poolem. DHCP se dá sdílet, ale chtěl jsem to jednoduše.


Bla

Re:Linux GW a její záloha?
« Odpověď #18 kdy: 28. 01. 2013, 17:35:51 »
Jo a z Internetu mi leze dovnitř jen pošta.





Tomas1212

Re:Linux GW a její záloha?
« Odpověď #19 kdy: 28. 01. 2013, 21:59:06 »
Tak jsem narazil na problém, že potřebuji na obou vstupních rozhraních stejnou IP - skrz poštu atd..... Je reálné otestovat řešení:

na mikrotik VRRP BACKUP zakázat vstupní rozhraní a mít toto rozhraní ve switchi před těmito zařízeními - barákový router + switch s VLANs pro každého uživatele - a mít na 2 portech stejnou VLAN na rozhraních clonovanou MAC a v případě přepnutí na backup stroj skriptem povolit WAN rozhraní  + natahat iptables... ?
http://feryjunaedi.files.wordpress.com/2009/02/simple-vrrp-ciscomikrotik.jpg
Ptám se raději zda je to možné, abych neztratil X hodin laborováním a pak nezjistil, že to nejde :) díky


PanKapitanRUM

Re:Linux GW a její záloha?
« Odpověď #20 kdy: 28. 01. 2013, 22:25:32 »
Pošta se dá nastavit pomocí dalšího reverzního záznamu.
(V DNS můžeš mít několik poštovních serverů.)

Mám to udělané takto:
Linka hlavní:
Hlavní Cisco ----> Brána1(Hlavní)
Hlavní Cisco ----> Brána2 (Záložní) do síťové karty 3, která je vypnutá, nakonfigurovaná s veřejnou IP Brány1 a zapíná se ručně

Linka záložní:
Záložní ADSL ----> Brána2

Brána1 je tedy spojená s hlavní linkou a vnitřní sítí (2x síťová karta).
Brána2 je spojená se záložním ADSL a vnitřní sítí, ale MÁ NAVÍC JEŠTĚ JEDNO ROZHRANÍ, které vede do hlavního CISCO switche a KTERÉ MÁ IP HLAVNÍ BRÁNY (3x síťová karta).

Původně jsem to měl udělané tak, že když Brána1 chcípla, provedl IF UP a spojení se automaticky obnovilo.

Jenže poslední fail byl tak dávno a toho rázu, že to dneska dělám tak, že v případě výpadku se podívám, jestli brána opravdu chcípla a pokud ano, udělám IF up ručně. Nicméně uživatelům pošta chodí i přes záložní bránu naprosto pohodově, internet taky, takže jediné, jak se výpadek projeví, je, že se VPNkáři nemohou připojit do firmy.

Ale mám víc řešení a udělaná různě, tohle mi přišlo jako extrémně nejjednodušší na konfiguraci, s čím se člověk opravdu vůbec nemusí drbat.

PanKapitanRUM

Re:Linux GW a její záloha?
« Odpověď #21 kdy: 28. 01. 2013, 22:37:51 »
Jo a zkoušel jsem i cluster u jiného zákazníka, ale tohle mi přišlo jako sprostě jednoduché a opraví to i Linuxové embryo.  ::)
S clusterem bylo celkem hodně ***ní a někdy v tom strašilo.
Něco vypnout a zapnout je zase nešikovné.
Výše uvedené řešení je dostačující, protože většina uživatelů stejně potřebuje ze sítě ven a přijímat poštu ::)



j

Re:Linux GW a její záloha?
« Odpověď #22 kdy: 28. 01. 2013, 22:50:03 »
No já nevím, to by ještě ISP musel umět dva routery a pakety na ně nějak chytře kopírovat (?).
Ne, jen ti ISP musi dat vic nez jednu IP, coz teda kazdy normalni da. Samo, aktualni konexe ti zbuchnou, ale to v pripade toho prohazovani kabelu taky.

Jenom malá poznámka, spíš ze zvědavosti: jaký smysl má dělat dvojitou gw, když tam zůstávají jiné single points of failure: router a switch?
Zadny, pravdepodobnost ze chcipne router je zhruba stejna jako ze chcipne ta jedina linka, pripadne router na druhy strane (u ISP). Zrovna nedavno sem resil 1/2 denni vypadek (poslo providerovo cisco na nasi strane) ... pak se s vedenim resilo zalohovani pripojeni, nacoz sem jim rek, ze to nebudou chtit platit ... mno a po te co prisla nabidka, se samo presne k tomu doslo - ze platit nejakych 40k za jeden pulden(rocne) ... je trochu dost.

Jo a ještě jedna poznámka: pokud ta gw provozuje stavový firewall, tak synchronizace na úrovni souborů je k ničemu - nezesynchronizují se dynamická pravidla ("seznam navázaných spojení") a tak jako tak všechna spojení spadnou.

Pokud přichází v úvahu změna OS, ve FreeBSD a OpenBSD na tohle existují specializovaná udělátka pfsync a CARP:
http://www.freebsd.org/cgi/man.cgi?query=pfsync&sektion=4
http://www.freebsd.org/doc/handbook/carp.html
To samo, ale nemusis k tomu chodit ... ;D

2PanKapitanRUM: jop, pokud jde jen o maily a provoz smerem ven, neni duvod se stim drbat ... pokud ale potrebujes i celkem zasadni provoz smerem dovnitr, tak stejne skoncis na tom, ze musis mit bud PI nebo dve konexe od jednoho ISP (a dokopat ho k routovani).

PanKapitanRUM

Re:Linux GW a její záloha?
« Odpověď #23 kdy: 28. 01. 2013, 23:03:58 »
2PanKapitanRUM: jop, pokud jde jen o maily a provoz smerem ven, neni duvod se stim drbat ... pokud ale potrebujes i celkem zasadni provoz smerem dovnitr, tak stejne skoncis na tom, ze musis mit bud PI nebo dve konexe od jednoho ISP (a dokopat ho k routovani).

To máš pravdu, jenže jsi to řekl i jinde přesně, 40kk ročně za 1/2 den ne každej vezme.
Chce to promyslet, co je vlastně ten hlavní a důležitý provoz, jestli by neměl být třeba někde v housingu.
(App, housing si taky klidně chcípne na 1/2 dne!)

Hodně věcí se dá řešit pomocí VPN tunelů a tam se záložní trasa dá nastavit taky.
Původní tazatel chtěl přehazovat kabel, proto si myslím, že tam ten failover asi tak kritickej nebude.

Jenda

Re:Linux GW a její záloha?
« Odpověď #24 kdy: 29. 01. 2013, 12:05:28 »
RUM to napsal dobře, používám to taky tak a výpadku GW jsem si všiml až když chcípla i ta záložní ;D
Můžeš to trošku upřesnit? Nějak jsem z jeho popisu nepochopil, jak přesvědčí o dvou routerech ISP uplinku - to musí ISP specificky umět, ne?

Nejspíš ISP dá každému z těch routerů jinou IP adresu (což by pro ISP nemělo být nic extra složitého) a routery provádějí IP masquerading (SNAT).
Aha, tak to pak samozřejmě jo. Já jsem to z toho prvního komentáře pochopil tak, že by to mělo jít nezávisle na tom, jestli se něco změní u ISP.