Отказоустойчивость VPN подключений

Обсуждение ПО и его настройки
dmitriy.kurbatov
Сообщения: 7
Зарегистрирован: 04 апр 2019, 05:41

Доброго времени суток, прошу направить в правильную сторону.
Имеется:
центральный mikrotik RB3011 с 4 провайдера интернета с поднятым на нём SSTP сервере;
около 180 RB951Ui, на данный момент около 80 подключены двумя sstp туннелями (к разным провайдерам) на RB3011;
маршрутизация OSPF строит маршруты через оба sstp интерфейса одновременно;
так же имеется Zabbix, который мониторит задержки и потери пакетов icmp и может через lld обнаружить sstp интерфейсы и их ip адреса на RB951Ui.
Что хотелось бы:
анализировать качество sstp туннелей и переключаться на тот где качество сейчас лучше.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

dmitriy.kurbatov писал(а): 04 апр 2019, 07:35 прошу направить в правильную сторону.
https://wiki.mikrotik.com/wiki/Manual:Tools/Speed_Test & https://wiki.mikrotik.com/wiki/Manual:Scripting


Александр
dmitriy.kurbatov
Сообщения: 7
Зарегистрирован: 04 апр 2019, 05:41

algerka писал(а): 04 апр 2019, 10:53
dmitriy.kurbatov писал(а): 04 апр 2019, 07:35 прошу направить в правильную сторону.
https://wiki.mikrotik.com/wiki/Manual:Tools/Speed_Test & https://wiki.mikrotik.com/wiki/Manual:Scripting
Speed_Test замеряет скорость и судя по описанию значительно нагружает проц. , что на устройстве с которого производится замер, что на на устройстве к которому производится замер. а так как количество устройств большое это будет проблемой.
хотелось бы более адекватного решения.
сейчас планирую с микротика скриптом отправлять ip адреса по api в zabbix, чтоб мониторить туннели, но пока не понятен лучшей вариант изменения маршрутизации, чтоб переключаться с туннеля на туннель.


Аватара пользователя
algerka
Сообщения: 407
Зарегистрирован: 14 дек 2011, 12:31

dmitriy.kurbatov писал(а): 05 апр 2019, 05:05 Speed_Test замеряет скорость и судя по описанию значительно нагружает проц.
Странно, ни в статье ни в практическом применении значительной нагрузки я не наблюдаю. Интересно на основе чего вы сделали такое гениальное умозаключение ?


Александр
dmitriy.kurbatov
Сообщения: 7
Зарегистрирован: 04 апр 2019, 05:41

а как удачнее управлять маршрутами? сейчас OSPF, но пока не получается выбирать нужный маршрут. На центральном маршрутизаторе интерфейсы в OSPF динамические и cost у них указать не получится, если менять cost на RB951Ui, то маршрут поменяется только в сторону центрального маршрутизатора, а обратный маршрут будет через оба интерфейса


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

А почему не хотите создать статические интерфейсы с заданным cost?


dmitriy.kurbatov
Сообщения: 7
Зарегистрирован: 04 апр 2019, 05:41

Erik_U писал(а): 22 апр 2019, 06:55 А почему не хотите создать статические интерфейсы с заданным cost?
это довольно трудозатратно и неудобно управляется. подключается порядка 180 если делать по 2 подключения нужно будет создать 360 статических интерфейсов, закрепить за ними ip адреса, а если захочется добавить ещё по одному подклчюению, то соотвественно ещё 180 интерфейсов и ip адресов. сейчас же аутентификация через AD по RADIUS. интерфейсы создаются динамически, ip адреса по DHCP из пула.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

"на данный момент около 80 подключены двумя sstp туннелями"

Это, несомненно, трудозатратно, но это делается 1 раз.
И вам не нужно делать оба интерфейса статичными, достаточно один. И двухканальных подключений пока 80.
Т.е. 80 статических интерфейсов.

В противном случае оно слабо управляемо.

Можно попробовать разделить 2 канала по разным area. Т.е. создать в системе 2 area, и там, где есть 2 подключения разнести их по разным. И задавать cost уже на уровне Area.
Но это не менее трудозатратно.

Но вы же управлять хотите. Управление - тоже трудозатратно! :)

А как вы сейчас SSTP к конкретному оператору привязываете? Вы проверили, что оба не через одного работают?

Простейшая схема - это в OSPF на каждом удаленном микротике свой локальный AREA, и одно SSTP соединение. OSPF резервирует дефолтный маршрут, а SSTP перепрыгивает на активный дефолт.
С марштуризацией в этой схеме все просто. Подсети центрального офиса всегда за интерфейсом единственного SSTP, и их отдавать OSPF не нужно, они жестко в таблицу маршрутизации внесены. OSPF только дефолтами пусть рулит.
Это просто, и работает.


dmitriy.kurbatov
Сообщения: 7
Зарегистрирован: 04 апр 2019, 05:41

Erik_U писал(а): 22 апр 2019, 14:01 Можно попробовать разделить 2 канала по разным area. Т.е. создать в системе 2 area, и там, где есть 2 подключения разнести их по разным. И задавать cost уже на уровне Area.
Но это не менее трудозатратно.
если менять cost у area то изменения коснутся всех точек и не будет возможно указывать точке через какой sstp сейчас работать.
Но вы же управлять хотите. Управление - тоже трудозатратно! :)
Erik_U писал(а): 22 апр 2019, 14:01 А как вы сейчас SSTP к конкретному оператору привязываете? Вы проверили, что оба не через одного работают?
сейчас у sstp указан конкретный ip оператора к которому нужно подключаться. это исключает возможность работать через одного
Erik_U писал(а): 22 апр 2019, 14:01 Простейшая схема - это в OSPF на каждом удаленном микротике свой локальный AREA, и одно SSTP соединение. OSPF резервирует дефолтный маршрут, а SSTP перепрыгивает на активный дефолт.
С марштуризацией в этой схеме все просто. Подсети центрального офиса всегда за интерфейсом единственного SSTP, и их отдавать OSPF не нужно, они жестко в таблицу маршрутизации внесены. OSPF только дефолтами пусть рулит.
Это просто, и работает.
не совсем понял как с помощью OSPF управлять дефолтным маршрутом через единственного провайдера интернета на удаленном микротике.


Erik_U
Сообщения: 1754
Зарегистрирован: 09 июл 2014, 12:33

dmitriy.kurbatov писал(а): 23 апр 2019, 04:55 не совсем понял как с помощью OSPF управлять дефолтным маршрутом через единственного провайдера интернета на удаленном микротике.
Я значит неправильно понял.
По описанию можно подумать, что на 80 точках у вас по 2 оператора. И вы создаете 2 SSTP через разных операторов на удаленной точке.


Ответить