Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Failover su Bonding di VPN non funziona

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
Arioch



Registrato: 22/07/08 14:33
Messaggi: 37

MessaggioInviato: Lun Nov 03, 2008 3:04 pm    Oggetto: Failover su Bonding di VPN non funziona Rispondi citando

Ciao a tutti,
ho un problema con il failover di 2 VPN lan-to-lan in BONDING.

Questa è la configurazione che ho adottato:

ZS A:

ETH00: LAN IP 192.168.0.254

ETH01: ADSL1 192.168.1.254 (tutto il traffico in ingresso è reindirizzato su questo ip)

ETH02: ADSL2 192.168.2.254 (tutto il traffico in ingresso è reindirizzato su questo ip)

VPN00: A->B su ADSL1 192.168.201.1 (server)
VPN01: A->B su ADSL2 192.168.202.254 (client)

BOND00: VPN00+VPN01 IP 192.168.221.1

ZS B:

ETH00: LAN IP 192.168.20.254

ETH01: ADSL1 192.168.21.254 (tutto il traffico in ingresso è reindirizzato su questo ip)

ETH02: ADSL2 192.168.22.254 (tutto il traffico in ingresso è reindirizzato su questo ip)

VPN00: B->A su ADSL1 192.168.201.254 (client)
VPN01: B->A su ADSL2 192.168.202.1 (server)

BOND00: VPN00+VPN01 IP 192.168.221.254

ETH01 e ETH02 sono in entrambi i box aggiunte al NAT, ho provato ad aggiungere anche il BONDING, ma l'errore rimane.

Ho aggiunto una route statica che passa sull'ip del Bonding, quindi ogni box ha come percorso di rete da seguire per arrivare all'altra rete l'ip dell'altro estremo del Bonding.
Entrambe le configurazioni dei Bonding sono sia in failover che load balance.
Ho attivato il NET BALANCER, con l'aggiunta del 2° GW (ma se non lo attivo non cambia nulla per quel che riguarda le VPN, o almeno cosi mi pare).
Detto questo se io provo a staccare sia fisicamente, sia a livello logico, da interfaccia web, una delle 2 connessioni, ottengo come risposta al ping una situazione di una perdita di pacchetti che va dal 50% all'80%.
Ho provato ad utilizzare anche il RIP ma non cambia nulla.
Qualche idea su dove possa essere il problema?
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Lun Nov 03, 2008 7:14 pm    Oggetto: Rispondi citando

Prima di staccare il cavo per mandare in fault una VPN controlla i processi con
ps -ef | grep vpn

Fai lo stesso dopo un po' che generi il fault e controlla se compare un vpn_mii.

Poi controlla con ifconfig lo stato della vpn in fault.

Queste operazioni le devi fare sui due server e postare il risultato.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
Arioch



Registrato: 22/07/08 14:33
Messaggi: 37

MessaggioInviato: Mar Nov 04, 2008 9:01 am    Oggetto: Rispondi citando

Grazie Fulvio

Per ora ti posso postare il risultato di quella che ho sottomano, per l'altra se va bene disattivare l'interfaccia da web lo faccio, sennò è un problema perchè sta a 200 Km di distanza.

Da una prima verifica, si il vpn_mii appare.
Top
Profilo Invia messaggio privato
artu98



Registrato: 26/09/07 10:24
Messaggi: 46

MessaggioInviato: Ven Nov 07, 2008 8:37 am    Oggetto: re Rispondi citando

hai per caso risolto?
qualche novita'?
perche' anche io ho questo problema.

ciao
Top
Profilo Invia messaggio privato
Arioch



Registrato: 22/07/08 14:33
Messaggi: 37

MessaggioInviato: Lun Nov 10, 2008 10:29 am    Oggetto: Rispondi citando

Purtroppo no, non sono ancora riuscito a risolvere, ho provato a rifare le VPN, ma ho sempre questa situazione in cui allo scollegare di un'interfaccia, ho una perdita di pacchetti.
Top
Profilo Invia messaggio privato
Arioch



Registrato: 22/07/08 14:33
Messaggi: 37

MessaggioInviato: Mar Nov 11, 2008 11:44 am    Oggetto: Rispondi citando

Per Fulvio

qui di seguito di riporto il risultato del comando che mi hai segnalato:

SITE A

PRIMA

root 4548 1 0 Nov03 ? 00:00:04 openvpn --dev VPN00 --remote zsm iti.homeip.net --port 1195 --proto udp --tls-server --dh /etc/ssl/dh.pem --ca /e tc/ssl/trusted_CAs.pem --cert /var/register/system/net/interfaces/VPN00/TLS/cert .pem --key /var/register/system/net/interfaces/VPN00/TLS/key.pem --dev-type tap --float --ping 1 --ping-restart 7 --management 127.0.0.1 34000 --daemon VPN00_L2 L --comp-lzo --down /root/kerbynet.cgi/scripts/vpn_mii
root 4638 1 0 Nov03 ? 00:00:02 openvpn --dev VPN01 --remote zsv eti.homeip.net --port 1196 --proto udp --tls-client --dh /etc/ssl/dh.pem --ca /e tc/ssl/trusted_CAs.pem --cert /var/register/system/net/interfaces/VPN01/TLS/cert .pem --key /var/register/system/net/interfaces/VPN01/TLS/key.pem --dev-type tap --float --ping 1 --ping-restart 11 --management 127.0.0.1 34001 --daemon VPN01_L 2L --comp-lzo --down /root/kerbynet.cgi/scripts/vpn_mii
root 4720 1 0 Nov03 ? 00:00:02 openvpn --dev VPN02 --remote zsm ibt.homeip.net --port 1197 --proto udp --tls-server --dh /etc/ssl/dh.pem --ca /e tc/ssl/trusted_CAs.pem --cert /var/register/system/net/interfaces/VPN02/TLS/cert .pem --key /var/register/system/net/interfaces/VPN02/TLS/key.pem --dev-type tap --float --ping 1 --ping-restart 7 --management 127.0.0.1 34002 --daemon VPN02_L2 L --comp-lzo --down /root/kerbynet.cgi/scripts/vpn_mii
root 7098 1 0 Nov03 ? 00:00:00 vpn --dev-type tap --dev VPN99 - -mode server --tls-server --proto tcp-server --port 20100 --dh /etc/ssl/dh.pem - -ca /var/register/system/openvpn/Auth/X509/CAFile --cert /var/register/system/op envpn/TLS/cert.pem --key /var/register/system/openvpn/TLS/key.pem --client-cert- not-required --auth-user-pass-verify /root/kerbynet.cgi/scripts/ov_pw_auth via-e nv --username-as-common-name --daemon VPN99_H2L --comp-lzo --ifconfig-pool 192.1 68.250.10 192.168.250.253 255.255.255.0 --push route 192.168.0.0 255.255.0.0 192 .168.250.254 --push 192.168.0.254 --push dhcp-option DNS 192.168.250.254 --push --client-connect /root/kerbynet.cgi/scripts/ov_connect --client-disconnect /roo t/kerbynet.cgi/scripts/ov_disconnect --mute 3 --management 127.0.0.1 34099 --kee palive 5 60 --duplicate-cn

DOPO

root 4548 1 0 Nov03 ? 00:00:04 openvpn --dev VPN00 --remote zsmiti.homeip.net --port 1195 --proto udp --tls-server --dh /etc/ssl/dh.pem --ca /etc/ssl/trusted_CAs.pem --cert /var/register/system/net/interfaces/VPN00/TLS/cert.pem --key /var/register/system/net/interfaces/VPN00/TLS/key.pem --dev-type tap --float --ping 1 --ping-restart 7 --management 127.0.0.1 34000 --daemon VPN00_L2L --comp-lzo --down /root/kerbynet.cgi/scripts/vpn_mii
root 4638 1 0 Nov03 ? 00:00:02 openvpn --dev VPN01 --remote zsveti.homeip.net --port 1196 --proto udp --tls-client --dh /etc/ssl/dh.pem --ca /etc/ssl/trusted_CAs.pem --cert /var/register/system/net/interfaces/VPN01/TLS/cert.pem --key /var/register/system/net/interfaces/VPN01/TLS/key.pem --dev-type tap --float --ping 1 --ping-restart 11 --management 127.0.0.1 34001 --daemon VPN01_L2L --comp-lzo --down /root/kerbynet.cgi/scripts/vpn_mii
root 4720 1 0 Nov03 ? 00:00:02 openvpn --dev VPN02 --remote zsmibt.homeip.net --port 1197 --proto udp --tls-server --dh /etc/ssl/dh.pem --ca /etc/ssl/trusted_CAs.pem --cert /var/register/system/net/interfaces/VPN02/TLS/cert.pem --key /var/register/system/net/interfaces/VPN02/TLS/key.pem --dev-type tap --float --ping 1 --ping-restart 7 --management 127.0.0.1 34002 --daemon VPN02_L2L --comp-lzo --down /root/kerbynet.cgi/scripts/vpn_mii
root 7098 1 0 Nov03 ? 00:00:00 vpn --dev-type tap --dev VPN99 --mode server --tls-server --proto tcp-server --port 20100 --dh /etc/ssl/dh.pem --ca /var/register/system/openvpn/Auth/X509/CAFile --cert /var/register/system/openvpn/TLS/cert.pem --key /var/register/system/openvpn/TLS/key.pem --client-cert-not-required --auth-user-pass-verify /root/kerbynet.cgi/scripts/ov_pw_auth via-env --username-as-common-name --daemon VPN99_H2L --comp-lzo --ifconfig-pool 192.168.250.10 192.168.250.253 255.255.255.0 --push route 192.168.0.0 255.255.0.0 192.168.250.254 --push 192.168.0.254 --push dhcp-option DNS 192.168.250.254 --push --client-connect /root/kerbynet.cgi/scripts/ov_connect --client-disconnect /root/kerbynet.cgi/scripts/ov_disconnect --mute 3 --management 127.0.0.1 34099 --keepalive 5 60 --duplicate-cn
root 8036 1 0 08:54 ? 00:00:00 /bin/sh /root/kerbynet.cgi/scripts/vpn_mii VPN02 1500 1574 init
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mar Nov 11, 2008 8:05 pm    Oggetto: Rispondi citando

Il comportamento è corretto. Dovresti abilitare SSH e fare la stessa cosa in remoto. Non vorrei che tu non avessi aggiornato alla beta11 anche l'altro peer. Il Fail-over BONDING della beta11 funziona correttamente solo se entrambi i peer sono beta11.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
Arioch



Registrato: 22/07/08 14:33
Messaggi: 37

MessaggioInviato: Mer Nov 12, 2008 8:59 am    Oggetto: Rispondi citando

Grazie Fulvio,la diversa versione era una cosa che mi era venuta in mente.
Allora si spiega, in effetti l'altro box lo devo aggiornare in settimana.
Appena aggiorno l'altro ZS ti faccio sapere se dovessi avere problemi.

Grazie mille ancora.
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it