Висока достъпност на AWS от сайт до сайт

Имам два FreeBSD сървъра, работещи като защитни стени, конфигурирани с carp IP адрес, който може да плава между двата сървъра за постигане на висока наличност.

Сега имам настройка на ipsec тунели към моя VPC на AWS с racoon и ipsec-tools. Трябваше да конфигурирам двата IP адреса 169.254.x.x на моя публичен мрежов интерфейс, за да накарам тунела да работи.

Проблемът с това е, че ако моята защитна стена премине при отказ, ще трябва да добавя двата ip адреса 169.254.x.x на другата защитна стена.

Опитах се да добавя ip адреси 169.254.x.x в интерфейса за обратна връзка, но не се получи.

Текущото ми решение е да добавя един от ip адресите (169.254.33.120) на първия ми сървър и другия ip адрес (169.254.35.140) на втория сървър. Но с това решение губя излишък, защото само един тунел е готов.

Някой има ли по-добро решение?


amazon-web-services vpn vpc ipsec freebsd
person laocius    schedule 26.06.2019    source източник
comment
Всъщност мога да добавя 169.254.x.x адреси на други интерфейси и тунелът все още работи; просто не работи на loopback интерфейс   -  person laocius    schedule 26.06.2019

Отговори (1)


arrow_upward
2
arrow_downward

Можете да имате свои собствени частни диапазони 10.x.x.x/16 без непременно да използвате диапазона Link-local 169.254.0.0/16.

За настройка на VPN, AWS предоставя 2 крайни точки на VPN, тези, които ще трябва да конфигурирате и да се уверите, че и двете работят, и двата тунела трябва да показват НАГОРЕ (зелено) в GUI на AWS, но само един ще бъде активен, маршрутизирайки трафика https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html

Сега трудната част (HA/failover IPSEC_NAT_T) е как да маршрутизирате трафика между тунелите, когато те изчезнат. Ако използвате raccon, от https://docs.netgate.com/pfsense/en/latest/solutions/aws-vpn-appliance/vpc-wizard-faq.html:

Amazon предоставя две крайни точки на тунел, които ще позволят изпращането на трафик между вашите мрежи и отдалечения VPC, към който сте свързани. Демонът racoon в pfSense е в състояние само да установи активна асоциация фаза 2 за определена двойка източник/дестинация в един тунел. Асоциациите от фаза 2 между локалните подмрежи и отдалечената VPC подмрежа са конфигурирани в GUI на pfSense и за двата тунела, но racoon действително ще установи асоциация само за първия тунел. Това означава, че racoon ще се опитва да изпрати трафик, предназначен за отдалечената VPC подмрежа през първия тунел. Ако този тунел не работи, вторият тунел може да работи и входящият трафик от отдалечения VPC може автоматично да бъде изпратен към вашите локални мрежи през този тунел. Но изходящият трафик към вашия отдалечен VPC няма автоматично да премине към втория тунел. За да можете да изпращате изходящия си трафик през втория тунел, ще трябва да деактивирате асоциациите за фаза 2 за първия тунел и да приложите промените.

Ще бъдете на разположение да имате и двата тунела, но трябва да намерите начин кой да използвате (направете трафик през)

strongswan е друга опция, мисля, че опростява работата, когато тунелът не работи.

Само за справка и получаване на по-добра представа за концепциите, ето как се прави с уред paloalto: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFiCAK

Така че до голяма степен ще ви трябва VR (виртуален рутер), рекламирайте маршрутите си и т.н. Ако е възможно, публикувайте обратно вашето решение.

person nbari    schedule 26.06.2019
comment
Благодаря за информацията. Ако не добавя локалните адреси на връзката, тунелът не може да бъде установен. Моята конфигурация е подобна на тази blog.heptanalytics.com/2018/03/19/ с изключение на това, че използвам FreeBSD. - person laocius; 27.06.2019
comment
вероятно това nbari.com/post/terraform-full-vpc може да ви даде идея как да използвате различни диапазони с помощта на 10.13.0.0/16, FreeBSD работи доста добре и чисто, опитайте да използвате конфигурацията generic, предоставена от AWS, за да тествате първо тунели и да достигнете до цялата си мрежа, по-късно опитайте да я направите излишна - person nbari; 27.06.2019