Новые ответы

Настройка приоритетов для ipsec-туннелей на Amazon,

cr1m, 10-Июн-20, 10:18 [смотреть все]

Здравствуйте, есть виртуальные сервера на Амазоне, с маршрутизатора до него строится пара ipsec-туннелей. Однако есть еще с одного резервного маршрутизатора пара туннелей, если работают все 4 начинаются потери до амазоновских хостов. Со стороны амазона можно ли как-то приоритет задать на эти туннели? Может кто сталкивался?

Ответить | Сообщить модератору

Настройка приоритетов для ipsec-туннелей на Amazon, Licha Morada, 22:21 , 10-Июн-20 (1)
> Здравствуйте, есть виртуальные сервера на Амазоне, с маршрутизатора до него строится пара
> ipsec-туннелей. Однако есть еще с одного резервного маршрутизатора пара туннелей, если
> работают все 4 начинаются потери до амазоновских хостов. Со стороны амазона
> можно ли как-то приоритет задать на эти туннели? Может кто сталкивался?
Ъ решение по Амазону, это динамическая маршрутизация с помощью BGP.
https://docs.aws.amazon.com/vpn/latest/s2svpn/vpn-redundant-...
https://docs.aws.amazon.com/vpn/latest/s2svpn/VPNRoutingType...
Ответить | Сообщить модератору

Настройка приоритетов для ipsec-туннелей на Amazon, Licha Morada, 20:48 , 11-Июн-20 (2)
А вот, кстати, сегодня кейс.
Клиент держит VPS в AWS, с 2-мя VPN до своего партнёра, 4 туннеля. Без BGP, вся маршрутизация статична, приоритет маршрутов или одной VPN над другой нигде не указан. Партнёр утверждает что на днях один из их каналов упал, вместе с одной из VPN, но всё отработало нормально. Клиент говорит что да, ничего не упало. График показывает что да, шёл траффик по одной VPN, потом пошёл по другой, потом опять пошёл по первой.
Мы подозреваем что партнёр темнит и они что-то там передёрнули, т.к. неделю назад тоже падало, само не поднялось. Клиент с партнёром и с его провайдером 4 часа ругались по Зуму, выясняя кто виноват и что делать. Пруфов нет.
Так что не однозначно. Не исключено, что AWS VPN как-то договорилась с Palo Alto партнёра. Будем саппорт AWS теребить, на предмет как оно должно себя вести без BGP.
Ответить | Сообщить модератору

Настройка приоритетов для ipsec-туннелей на Amazon, shadow_alone, 12:47 , 14-Июн-20 (4)
если без BGP, то вы должны передергивать маршрут на AWS из одного туннеля в другой, и никак иначе.
на AWS не возможности выставлять вес маршрута.
То есть, если у вас 2*2 туннеля, то он будет идти по одному из них в одно время, по какому, не вы решаете, к сожалению, вернее вы решаете только то что идет с вашей стороны, и не то что возвращается.
Ответить | Сообщить модератору

Настройка приоритетов для ipsec-туннелей на Amazon, Licha Morada, 21:34 , 14-Июн-20 (5)
Всё правильно. Я говорю, темнит партнёр.
Подозреваю, что прямо сейчас маршрутизация работает чисто случайно, и рано или поздно её опять обвалят.
Ответить | Сообщить модератору

Настройка приоритетов для ipsec-туннелей на Amazon, shadow_alone, 12:43 , 14-Июн-20 (3)
Ну, во первых, в таких случаях лучше не использовать статическую маршрутизацию.
Во вторых, в AWS для BGP есть разные настройки, как именно будет работать пара туннелей, поддерживается и multipath.
Далее, вы не сообщили, как именно у вас происходит переключение master-backup - а судя по тому что у вас 2 маршрутизатора - хорошо бы знать как именно вы делаете переключение клиентов на второй.
В вашем случае лучше всего использовать динамику с BGP - и тогда ваши маршрутизаторы будут аннонсить вашу подсеть в AWS с одного из роутеров в один момент времени - и ничего пропадать точно не будет.
Ответить | Сообщить модератору