我有一组办公室,它们都通过远端的 DSL 链路连接到主办公室以节省成本。(我们是非营利组织,别问)
我们过去曾发现,处理远程站点的 ISP 与处理我们的 OpenVPN 运行的 T1 线路的 ISP 之间的链接存在明显问题,因此这些链接经常出现故障。
我们的邮件服务器的公共接口位于第一个提供商的网络上,因此它运行良好,但由于它也是 DSL,所以速度要慢得多。
为了解决上游网络不可靠的问题,我编写了一个脚本,该脚本只需修改远程站点上的 DNS 记录,使其在隧道启动时指向内部 IP,在通向主站点的 VPN 隧道关闭时指向公共 IP。
我怎样才能以更优雅的方式做到这一点,既能即时完成(而不是使用我的 cron 驱动脚本),又能对用户透明?
编辑:远程办公室:Ubuntu 9.10 LTSP 服务器运行各种供应商提供的 Actiontecs 和 Motorola,还有一些带有 Netgears 和 Linksys 防火墙。主办公室:几乎 100% Linux(在本例中为 CentOS),带有多个 Netgear FVS318/338 系列防火墙,每个 IP 在我们的 /27 上都有单独的防火墙。(另一个不要问,那是在我来这里之前)
答案1
OpenVPN 应该能够在隧道创建和终止时执行命令。您可以让这些事件触发 DNS 记录改组,而不是在 cron 中运行此作业。然后,您只需通过不可靠的链接监视某些内容即可知道何时重新启动 VPN 隧道。
答案2
这取决于您的预算。思科(当然还有其他公司)的 IP SLA 正是这样做的。这是一个很好的起点
您可能无需其他任何操作就能实现这一点。我假设您的用户 DNS 指向您的远程站点的路由器。在远程站点的路由器中,您可以添加第一个提供商的主 DNS 和第二个提供商的辅助 DNS。如今,大多数路由器都足够聪明,一旦主路由器发生故障,就会切换到辅助路由器。
编辑:公平地说,根据您的 DSL,您可以找到 60 美元的二手思科路由器。因为自 12.3(14)T 起支持 IP SLA