Высокая доступность VPN между сайтами AWS - PullRequest
Новая
       134

Высокая доступность VPN между сайтами AWS

1 голос
/ 26 июня 2019

У меня есть два сервера FreeBSD, работающие как брандмауэры, настроенные с IP-адресом карпа, который может перемещаться между двумя серверами для достижения высокой доступности.

Теперь я настроил ipsec-туннели к своему VPC на AWS с racoon и ipsec-tools. Мне пришлось настроить два IP-адреса 169.254.x.x в моем общедоступном сетевом интерфейсе, чтобы туннель работал.

Проблема в том, что в случае сбоя моего брандмауэра мне придется добавить два IP-адреса 169.254.x.x на другой брандмауэр.

Я попытался добавить IP-адреса 169.254.x.x в петлевой интерфейс, но это не сработало.

Мое текущее решение - добавить один из IP-адресов (169.254.33.120) на моем первом сервере и другой IP-адрес (169.254.35.140) на втором сервере. Но с этим решением я теряю избыточность, потому что работает только один туннель.

У кого-нибудь есть лучшее решение?

1 Ответ

2 голосов
/ 27 июня 2019

Вы можете иметь собственные закрытые диапазоны 10.x.x.x/16 необязательно использовать Link-local диапазон 169.254.0.0/16.

Для настройки VPN AWS ​​предоставляет 2 конечных точки для каждой VPN, которые вам нужно будет настроить, и убедитесь, что они оба работают, оба туннеля должны отображаться ВВЕРХ (зеленым) в графическом интерфейсе AWS, но только один будет активен при маршрутизации трафика. https://docs.aws.amazon.com/vpc/latest/adminguide/Introduction.html

Теперь сложная часть (HA / failover IPSEC_NAT_T) заключается в том, как маршрутизировать трафик между туннелями, когда они выходят из строя. При использовании raccon от https://docs.netgate.com/pfsense/en/latest/solutions/aws-vpn-appliance/vpc-wizard-faq.html:

Amazon предоставляет две конечные точки туннеля, которые позволяют передавать трафик между вашими сетями и удаленным VPC, к которому вы подключены. Демон racoon в pfSense способен устанавливать только активную связь фазы 2 для конкретной пары источник / пункт назначения в одном туннеле. Связи фазы 2 между локальными подсетями и удаленной подсетью VPC настраиваются в графическом интерфейсе pfSense для обоих туннелей, но racoon фактически устанавливает связь только для первого туннеля. Это означает, что racoon будет только пытаться отправлять трафик, предназначенный для удаленной подсети VPC, по первому туннелю. Если этот туннель выходит из строя, второй туннель может быть запущен, и входящий трафик от удаленного VPC может отправляться в ваши локальные сети через этот туннель автоматически. Но исходящий трафик на ваш удаленный VPC не будет автоматически переключаться на второй туннель. Чтобы вы могли отправлять исходящий трафик через второй туннель, вам необходимо отключить связи фазы 2 для первого туннеля и применить изменения.

Вам будут доступны оба туннеля, но вам нужно будет найти способ их использовать (маршрутизировать трафик через)

strongswan - еще один вариант, я думаю, упрощает обработку, когда туннель не работает.

В качестве справки и лучшего понимания концепций, вот как это делается с устройством Paloalto: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClFiCAK

Так что вам понадобится виртуальный маршрутизатор (VR), реклама ваших маршрутов и т. Д. Если возможно, опубликуйте свое решение.

...