StrongSWAN/OpenSWAN 的两个隧道具有相同的 rightsubnet

StrongSWAN/OpenSWAN 的两个隧道具有相同的 rightsubnet

我正在尝试设置Google Cloud VPN 的“选项 3”配置,左侧有两个 Google Cloud VPN 网关,右侧有一个 StrongSWAN 或 OpenSWAN:

在此处输入图片描述

如果您有两个 Peer VPN 网关和两个 Compute Engine VPN 网关,则每个 Compute Engine VPN 网关都可以有一个指向每个 Peer VPN 网关公共 IP 的隧道,从而为您提供 VPN 网关之间的四个负载平衡隧道,从而可能将带宽增加 4 倍。

问题是,据我所知,在主动/主动配置(两个隧道都提供流量服务)中执行此操作需要两个对等网关具有相同的rightsubnet,这会导致第二条隧道因“路由已在使用中”而失败:

Sep 14 15:44:02 test-vpn ipsec: 002 added connection description "google1"
Sep 14 15:44:02 test-vpn ipsec: 002 added connection description "google2"
Sep 14 15:44:02 test-vpn ipsec: 003 "google2": cannot route -- route already in use for "google1"
Sep 14 15:44:02 test-vpn ipsec: 025 "google2": could not route

有没有办法使用 StrongSWAN、OpenSWAN 或其他软件 VPN 包来支持此配置?我明白了强SWAN有一个实验性的高可用性模式,但是看起来很麻烦并且似乎不兼容。

答案1

正如你可能注意到的选项 1 和选项 2增加 VPN 吞吐量文章,Compute Engine VPN 网关或网络会自动将流量负载平衡到对等 VPN 网关。

对于选项 3,您需要创建 VPN 网关集群来为您的 IPsec VPN 网关运行负载平衡。

正如你提到的,这可以使用负载共享集群StrongSwan 的功能,或者您可以设置负载均衡器(例如HAProxy) 在对等 VPN 网关之间分配远程网络的工作负载。

相关内容