martedì, Marzo 9, 2021

VPN e failover

AreaNetworking.ithttps://www.areanetworking.it
AreaNetworking.it è tra i principali e più storici media italiani del settore ICT. Nato nel 2003 per opera di Federico Lagni, l'attività del gruppo è sia online - con il portale rivolto a figure professionali ICT (IT Manager, CTO, Security Specialist, Datacenter Engineer, etc) - sia offline con l'organizzazione delle più importanti conferenze italiane su temi tecnologici.
<Gabriele> Buongiorno
<Simone> Ciao Gabriele
<Gabriele> we Simone
<Gabriele> mi servirebbe una informazione circa il failover su VPN
<Andrea> Gabriele: te posta la domanda. Chi sa e soprattutto ha tempo ti risponderà…
<Gabriele> ok :)
<Gabriele> allora
<Gabriele> vorrei capire come, in caso di caduta di una linea, funziona la VPN in failover delle interfacce di rete
<Gabriele> ergo: ho un router con 2 canali, uno ADSL, uno ISDN
<Gabriele> quando cade l’ADSL lui switcha il gateway sulla Wan ISDN
<Alessandro> direi allo stesso modo di come lavora qualsiasi setup in failover
<Alessandro> si tratti di tunnel o no
<Gabriele> ecco
<Gabriele> aspetta Ale, fammi capire
<Gabriele> lavorando in VPN
<Alessandro> aspetta, devo riavviare
<Gabriele> ok
<Gabriele> continuo quando torni :)
<Alessandro> intanto, comunque, VPN è tanto generico da far venire mal di testa
<Alessandro> parti da quello che hai
<Alessandro> e su quello pensi
<Gabriele> eheh, aspetta
<Gabriele> non ho ancora nulla
<Alessandro> riavvio
<Gabriele> è questo che mi stimola a ragionare
Alessandro si è disconnesso (Quit: Sto andando via)
<Andrea> in genere vi è un ping gateway per indicare se la linea è su o meno con metrica diversa..
<Gabriele> ok Andrea
<Gabriele> ma come fanno gli apparati di entrambe le parti
<Gabriele> a sapere che il gateway remoto VPN ha cambiato IP pubblico?
<Gabriele> (quando cade l’ADSL per esempio)
<Andrea> ping
<Gabriele> ping?
<Gabriele> deve essere tutto automatico dico io
<Andrea> Gabriele: si, ping in automatico.. non lo fai te..
<Gabriele> ok
<Gabriele> comunque sarebbe meglio avere il router in mano e capire come si comporta
<Andrea> ovviamente se dialup si complica la cosa.. e devi pingare un ISP di mezzo fra i due
<Gabriele> a me serve avere la sicurezza che se cade un’interfaccia
<Gabriele> l’altra salga su in automatico ed è subito in VPN
<Gabriele> quindi gli apparati da qualche parte devono sapere come completare la tabella del routing VPN
<Andrea> Gabriele: questa possibilità c’è… non so cosa devi usare nè che linee hai.. però si può fare
<Gabriele> benissimo
<Gabriele> Andrea: sai dirmi come funziona un Radius server ?
<Gabriele> potrebbe aiutarmi ?
<Gabriele> io voglio usare questo
<Gabriele>

<Andrea> non conosco…
<Gabriele> dalle specifiche sembra un ottimo prodotto
<Gabriele> vorrei interrogare qualcuno per capire cosa succede quando da una delle due parti (o in entrambi) avviene il failover
<Gabriele> (o cosa può succedere)
<Andrea> come per failover delle linee
<Andrea> solo che hai una parte in più che è la parte remota..
<Andrea> te metti due metriche con distanza amministrativa diversa.. una con precedenza all’altra..
<Andrea> se va giù interroga la seconda e il traffico esce da questa..
<Andrea> per VPN ti potrei dire dei Fortinet nello specifico..
<Andrea> comunque non fanno nient’altro che fare dei ping ad intervalli stabiliti per verificare la connessione…
<Gabriele> mmh
<Gabriele> a me servirebbero dei ping che dicano al router remoto “guarda che sono io, ho cambiato IP”
<Gabriele> :)))
<Gabriele> Andrea, senti sai come funziona Radius ?
<Gabriele> bentornato Alessandro
<Gabriele> ponevo il quesito
<Gabriele> volevo capire come si comportano gli apparati che fanno VPN
<Gabriele> in caso di failover
<Alessandro> Gabriele, intanto devi vedere che tipo di VPN vuoi fare
<Alessandro> poi cosa ti serve che faccia come optional
<Gabriele> una VPN IPSec va benissimo
<Gabriele> l’optional è che quando va giu l’ADSL
<Gabriele> il router va su ISDN
<Gabriele> e cambia IP
<Gabriele> come faccio a informare l’altro punto VPN che ho un IP diverso?
<Maurizio> infatti mi sa che non si può fare senza l’ausilio di protocolli “intelligenti” tipo BGP
<Gabriele> grande Maurizio :)
<Gabriele> discutendo su un altro chan
<Maurizio> non ne sono certo al 100%
<Gabriele> mi suggerivano di fare DDNS
<Gabriele> al che ho pensato
<Gabriele> che se gli apparati mi permettono di specificare un host
<Maurizio> eh sì ma mica tutti i router accettano come endpoint nomi da tradurre in IP
<Gabriele> ecco
<Gabriele> in quel caso li
<Gabriele> potrei farmi un DNS a uso interno
<Maurizio> ci avevo pensato anche io per fare VPN con l’ufficio senza IP pubblico da casa
<Gabriele> e con un batch aggiorno la tabella
<Gabriele> però la vedo sporca
<Gabriele> vorrei sapere se c’è qualche service che sincronizza le table della VPN
<Alessandro> “intelligenti” tipo BGP…
<Alessandro> e che ha a che fare con il failover di una VPN?
<Alessandro> esistono le route map
<Gabriele> non so proprio
<Gabriele> non consoco BGP
<Alessandro> esistono protocolli apposta per gestire le interfacce che cadono
<Alessandro> tipo HSRP
<Alessandro> BGP c’entra niente
<Alessandro> è un proto di routing tra AS
<Gabriele> ah
<Alessandro> usato piu che altro dai providers e grosse organizzazioni
<Gabriele> allora i router dovrebbero avere supporto per HSRP?
<Alessandro> HSRP solo su Cisco
<Alessandro> ripeto, prima devi vedere che VPN fare
<Gabriele> :|
<Alessandro> cosa devi connettere
<Gabriele> usare Cisco mi costerebbe un sacco di soldi
<Alessandro> se hai una LAN centrale
<Alessandro> e tanti client
<Alessandro> che devono accedervi
<Gabriele> si
<Alessandro> stile “road warrior”
<Gabriele> a stella
<Alessandro> oppure due LAN
<Alessandro> unite da un tunnel criptato
<Gabriele> sede slave —- master
<Alessandro> ok
<Alessandro> magari dialup
<Alessandro> se hai una LAN e client remoti che si devono connettere
<Alessandro> io userei un router decente, magari un 1700 o 800
<Alessandro> e lato client hai diverse possibilità
<Gabriele> io volevo comprare un draytek
<Gabriele> per le sedi slave
<Alessandro> da un VPN client Cisco
<Alessandro> oddio
<Alessandro> quelli costano e servono a un cazzo
<Gabriele> vorrei risparmiare sull’investimento hardware
<Gabriele> aspetta, guarda
<Alessandro> hai detto “sedi” slave?
<Alessandro> ti sto tirando fuori con le pinze la topologia?
<Alessandro> io ero rimasto a una sede e tanti clients “singoli ” remoti
<Gabriele>
<Gabriele> allora
<Gabriele> una sede centrale
<Alessandro> dotata di gateway e firewall?
<Gabriele> 15 sedi slave in VPN
<Alessandro> o da dotare?
<Gabriele> da dotare
<Alessandro> ok
<Gabriele> ancora non esiste nulla
<Alessandro> dimensioni?
<Gabriele> domani ho i signori di Tiscali qui
<Gabriele> per capire cosa acquistare come linee
<Alessandro> 15 sedi vuol dire che l’hub
<Alessandro> deve aver un bell’apparatone
<Alessandro> niente tirchierie
<Alessandro> 15 tunnel sono già tantini
<Gabriele> si
<Alessandro> un concentratore VPN sarebbe il meglio
<Gabriele> la sede master deve gestire la VPN
<Gabriele> i slave solo la VPN verso la master
<Alessandro> sennò vai su *nix
<Alessandro> io metterei una roba seria tipo in sede
<Gabriele> anche io
<Gabriele> in sede devo avere una roba mega
<Alessandro> tipo un VPN concentrator?
<Gabriele> direi HDSL (o una ADSL 2+)
<Alessandro> PIX e Radius?
<Gabriele> e una ADSL piccola di backup
<Alessandro> si beh, a parte la connessione
<Alessandro> dico l’apparato
<Gabriele> cosa mi consigli ?
<Gabriele> voglio un apparato che oltre al fatto della linea di backup
<Alessandro> poi nelle sedi remote puoi anche fare dei piccoli *nix che gestiscono il tunnel
<Gabriele> mi dia QoS su VoIP
<Alessandro> con OpenVPN
<Gabriele> preferirei far fare tutto al router
<Gabriele> ADSL
<Alessandro> quanti client?
<Gabriele> io vorrei usare quel router perchè ha anche le porte FXS
<Alessandro> beh, un modulare gli puoi mettere le FXS
<Gabriele> infatti ora mando una mail ai signori di Draytek
<Gabriele> mi serve capire come si comporta la FXS in caso di mancato VoIP
<Gabriele> e come funziona nei loro routers il failover VPN
<Gabriele> Alessandro, il radius serve esclusivamente per l’accesso?
<Gabriele> vorrei capire se il router della sede
<Gabriele> ha la possibilità di acchiappare l’IP delle sedi slave
<Gabriele> e rimappare la VPN
<Gabriele> in modo tale che quando sulle slave va in failover
<Gabriele> lui automaticamente si aggiorna la tabella IP per fare VPN
<Gabriele> questo è il mio dubbio atroce :)
<Alessandro> il Radius serve per fare AAA
<Gabriele> quindi soltanto autenticazione di accesso
<Alessandro> quindi autentica
<Alessandro> autorizzazioni su vari livelli
<Gabriele> si ok
<Gabriele> quello che voglio fare io
<Alessandro> e accounting tra cui il logging
<Alessandro> Gabriele, a me la cosa sembra grossa
<Alessandro> ogni 2 minuti tiri fuori un pezzo nuovo
<Gabriele> ehehee
<Alessandro> capisci che è difficile
<Gabriele> si capisco
<Alessandro> devi avere tutto sottomano
<Gabriele> lo so
<Alessandro> vedere cosa devi fare
<Alessandro> numero di clients
<Alessandro> valutare la banda necessaria
<Gabriele> Hai ragione. Appena ho la situazione più chiara mi farò risentire e ne riparleremo. Intanto ti ringrazio moltissimo!
<Gabriele> la discussione mi è stata molto molto utile ;)

Articoli correlati

Le nuove ambizioni della privacy tra “user experience” e sostenibilità

Anche in ambito privacy la “user experience” comincia ad avere un ruolo rilevante. Quali aspetti della “user experience” si intrecciano con la privacy? Recenti iniziative...

Seguici!

4,595FansLike
2,185FollowersFollow

Noleggia una Tesla per il tuo evento IT!

Categorie