Failover entre dos ISPs para tráfico entrante, ¿im-posible?

Tbon

Football total philosophy
Miembro del Equipo
Fundador
ADMIN
Se incorporó
20 Enero 2004
Mensajes
13.674
Queridos amigos, tengo la siguiente consulta a ver si me pueden ayudar a resolverla:

Para darles el contexto, en la empresa donde trabajo quieren habilitar una segunda conexión a internet de contingencia a través de un ISP distinto al actual, esta se conectaría a un cluster de FW (watchguard) en modalidad failover. El firewall posee la capacidad de poder tener "multi-wan" que permite direccionar el traffico saliente a traves de ambas conexiones a internet.

El problema se presenta con el trafico entrante a servicios que se encuentran publicados a traves de las ips publicas, por ejemplo, cuando una persona x desde su casa intenta consultar la pagina web de la empresa, dado que ambas conexiones a internet son de distintos ISPs, cuando hay un failover de las conexiones y se hace el switch al enlace de contingencia, las direcciones publicas cambian y nuestra pagina dejará de verse.

Entiendo que esto se puede resolver si se incorporará un balanceador, sin embargo la consulta es si es posible resolverlo de alguna manera menos compleja a traves de una configuracion en un DNS externo o similar.

Atento a sus comentarios!

Saludos :zippy
 

K3rnelpanic

non serviam
Miembro del Equipo
MOD
Se incorporó
1 Octubre 2007
Mensajes
6.065
Balanceador es tu norte Tbon. No se me ocurre un mecanismo (ni a través de registro DNS para hacerlo).
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
si usas dns, habría que tener las ip's funcionando y así responderá la web de la ip en funcionamiento
pero desconozco en detalle si la ip que no funcione provocara errores en los navegadores si es que no responde , pero viendo como la usan en multiples sistemas publicos (google por ejemplo), el dns apunta a varias ip's , pero no tengo como comprobar si cuando se muestra un msg de no response es porque se cayo dicha ip o si mi conexion guateo en ese momento :p
 
Upvote 0

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.517
Balanceador es tu norte Tbon. No se me ocurre un mecanismo (ni a través de registro DNS para hacerlo).

Como se incorporaría él balancedor???

El balancedor recibe la ip resuelta por el dns y luego el balanceador tire el tráfico a las IP públicas de cada segmento??? Si es así igual tenemos el problema de la caída del segmento público publicado...


Tal vez se puede hacer algo a nivel de ISP con BGP para publicar un mismo segmento público por dos enlaces.... el enlace de respaldo va ser con el mismo proveedor del principal o con otro?

Saludos


Sent from my iPhone using Tapatalk
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
Como se incorporaría él balancedor???

El balancedor recibe la ip resuelta por el dns y luego el balanceador tire el tráfico a las IP públicas de cada segmento??? Si es así igual tenemos el problema de la caída del segmento público publicado...


Tal vez se puede hacer algo a nivel de ISP con BGP para publicar un mismo segmento público por dos enlaces.... el enlace de respaldo va ser con el mismo proveedor del principal o con otro?

Saludos


Sent from my iPhone using Tapatalk
Probablemente usará dos enlaces con ip's diferentes

Enviado desde mi HUAWEI KII-L23 mediante Tapatalk
 
Upvote 0

Tbon

Football total philosophy
Miembro del Equipo
Fundador
ADMIN
Se incorporó
20 Enero 2004
Mensajes
13.674
Si, son 2 enlaces distintos, he estado buscando soluciones y he pillado solo 2, la primera a traves de un balanceador que instalado en el borde funciona como dns autoritativo y va sensando las ips publicas, redireccionando a la que se encuentra activa (algunos trabajan con algo asi como una ip virtual, aunque no me queda claro su mecanismo)

La segunda es similar pero como servicio online, uno declara los servicios, el dominio y las ips publicas, el servicio sensa las direcciones publicas y cambia las zonas de forma automatica.

Dada esta ultima solucion es que me asalta la duda si habra algo que se pueda hacer a traves de un linux comun configurando el dns de alguna manera.

Saludos
 
Upvote 0

Miguelwill

I am online
Miembro del Equipo
MOD
Se incorporó
23 Febrero 2004
Mensajes
12.403
Si, son 2 enlaces distintos, he estado buscando soluciones y he pillado solo 2, la primera a traves de un balanceador que instalado en el borde funciona como dns autoritativo y va sensando las ips publicas, redireccionando a la que se encuentra activa (algunos trabajan con algo asi como una ip virtual, aunque no me queda claro su mecanismo)

La segunda es similar pero como servicio online, uno declara los servicios, el dominio y las ips publicas, el servicio sensa las direcciones publicas y cambia las zonas de forma automatica.

Dada esta ultima solucion es que me asalta la duda si habra algo que se pueda hacer a traves de un linux comun configurando el dns de alguna manera.

Saludos
Se me ocurre que se podría configurar dos dns, uno en cada ip publica, y usando una ip en alta disponibilidad (como una ip virtual o secundaria, tipo heartbeat o ucarp), y que el dns activo apunte el nombre del sitio a su propia ip, así solo resolverá el primario y en caso de desconexion, el secundario tomara la ip y resolverá su ip publica (esto haría que cualquier cambio se deba hacer en ambos dns, sin afectar a los servicios en alta disponibilidad)


Enviado desde mi HUAWEI KII-L23 mediante Tapatalk
 
Upvote 0

sr_meck

a.k.a chikogollo
REPORTERO
Se incorporó
14 Mayo 2004
Mensajes
6.517
Haber pero pongamoles numero para ver como funcionaria el tema.

tbon tiene un enlace a internet (enlace1) que le entrega por lo general 5 direcciones IP publicas, 1.1.1.0/29 es decir de la 1.1.1.1 a la 1.1.1.6

Tiene el servicio web publicado por la dirección 1.1.1.3 entonces sobre el DNS dice que laquecuelga.cl esta sobre 1.1.1.3 y llega el requerimiento por el enlace1 y golpea el cluster de FW 1.1.1.3:80 y el FW lo envia la IP interna donde esta el server y todo funciona.

Luego van a colocar otro enlace (enlace2) que entrega otras 5 publicas 2.2.2.0/29 es decir de la 2.2.2.1 a la 2.2.2.6

Entonces sobre el firewall van a hacer el otro NAT para que cuando llegue un requerimiento a la 2.2.2.3:80 haga match a la misma Ip interna del server. y va a funcionar

Ahora el problema es que el DNS solo conoce a la 1.1.1.3 y no a la 2.2.2.3 entonces por mas que tengan balanceadores el problema es la respuesta del DNS.... yo creo que tu solucion es tener el mismo segmento publico a travez de dos enlaces distintos con BGP se puede hacer.

Algo como asi


Saludos
 
Última modificación:
Upvote 0

yakko

pingüino mal genio
Se incorporó
24 Agosto 2004
Mensajes
16.883
tengo varios clientes con una solución para exactamente eso.

ya que los isp en chile valen hongo y los BGP funcionan como el loly no nos quedó más que montar un firewall linux multi wan para dar solución a este problema.

la parte compleja es el chequear los enlaces y botar las rutas asociadas a cada enlace en caso de falla pero mantener el enlace activo para monitorear si vuelve.

para los servicios externos y las IPs cambiantes, se usa un dns dinámico en el mismo firewall, cosa bastante sencilla.
 
Upvote 0

Tcolot

Miembro Activo
Se incorporó
7 Noviembre 2016
Mensajes
8
eso es imposible a menos que tengas tu propio numero AS (sistema autonomo) y eso implicaria que tu empresa tuviera un bloque asignado por tu oficina de direcciones NIC.

se usa BGP para anunciar el bloque desde los ruteadores que estarian conectados entre cada ISP. Yo lo he hecho con grandes clientes de Gobierno en mi Pais, pero clientes privados solo universidades grandes tuvieron ese privilegio.

lo mejor que puedes hacer es mover tus servidores a un hosting que provea ese tipo de reduncancias con dos ISP o al menos doble infraestructura y que ellos te arrienden las IPS de su bloque.

lo demas de scripsts y linux son soluciones chapuceras, el hacer un update a los DNS toma 3 segundos, pero que se propague la actualizacion a la internet puede tomar hasta dia y medio.

las soluciones multiwan funcionan bastante bien balanceando enlaces a la salida, pero a la entrada ya es asunto de enrutamiento entre el ISP y el cliente. y si tienes dos ISP, hay que ponerse de acuerdo los dos ISP y el cliente.
 
Upvote 0
Subir