LINUX.ORG.RU
ФорумAdmin

Как сделать балансировку трафика на два туннеля IPSec со strongswan как клиентом на ubuntu?

 , , , ,


0

1

Доброго времени суток!

имеется:

ubuntu 19.04

strongswan 5.1.1 как клиент.

Два туннеля (policy based) IPSec с ikev2 psk

Оба туннеля поднимаются на одном выходном интерфейсе клиента (ubuntu + strongswan).

Сервер (куда поднимаются туннели) имеет два канала наружу, на каждом по туннелю, к ним и подключаемся.

Задача:

Настроить клиента, чтобы увеличить ширину vpn канала до сервера за счёт суммирования каналов двух туннелей.

Клиент доступен для настройки, сервер (Palo Alto)- ограниченно подконтролен.

Нужно чуть больше подробностей.
1. У клиента канал шире чем 1 канал сервера?
2. Для чего используются туннели? В смысле, для доступа к серверу и находящимися за ним ресурсами? Лучше нарисуйте схемку с ip адресацией.
3. Что понимаем под балансировкой? Вариантов больше одного. Например простая, когда отдельное соединение идет по своему маршруту. Или вы хотите объединение без относительно отдельного соединения, типа «пакет 1 налево, пакет 2 направо». Но тут все-таки надо начать с пункта 2 в части схемки.

ЗЫ Таким извратом не занимался, но может и найдем решение.

anc ★★★★★ ()
Ответ на: комментарий от anc

1. канал клиента шире даже суммированных каналов сервера на порядок (>100mb клиент, ~1-2mb(ну может до 5mb) сервер)

2. туннели пользуются для доступа до сети за сервером, конкретно - самба шара в сети за сервером.

3. задача увеличить скорость до шары с клиента, какой тип балансировки для этого требуется - тут вопрос.

примерная топология: https://i.ibb.co/zNgzZ37/topology.png

Накопал это: http://blog.asiantuntijakaveri.fi/2012/01/reliable-ip-over-multiple-unrealiab...

Но тут требуется подобная же настройка на другой стороне, что затруднено.

Butcher ()
Ответ на: комментарий от Butcher

туннели пользуются для доступа до сети за сервером, конкретно - самба шара в сети за сервером.
задача увеличить скорость до шары с клиента
Но тут требуется подобная же настройка на другой стороне, что затруднено.

Вам действительно нужно полное обьединение каналов. Тут без двух сторон не обойтись.

ЗЫ
Не конкретно по вашему вопросу. А оно (smb) вам точно нужно? При скоростях:

~1-2mb

Даже при агрегации получим 4, с учетом «поправок на ветер в инете» будет меньше, smb весьма «мусорный протокол». Может использовать что-то другое?

anc ★★★★★ ()
Ответ на: комментарий от anc

Тут без двух сторон не обойтись.

На том конце Palo Alto. Как её настраивать на объединение каналов я понимаю слабо (умею в базовую настройку и vpn), но могу покурить маны. Однако ответственный на той стороне умеет, и это вполне можно согласовать.

Даже при агрегации получим 4, с учетом «поправок на ветер в инете» будет меньше, smb весьма «мусорный протокол». Может использовать что-то другое?

К сожалению - это тут только я такой экстремал и пользую linux, а сети за сервером и за клиентом - сплошь из виндовых машин.

Butcher ()
Ответ на: комментарий от anc

Т.е. там ещё много машинок? А не как на схеме, один к одному?

Да дело не в этом, просто на одиночных каналах всё работает, траф ходит, файлы по самбе бегают (максимум что видел 700кбс). На клиенте SNAT заворачивает траф в туннель, в сети за клиентом правильные маршруты. Да и самих пользователей шары - одна/две машины.

Но есть желание всё это чуть расшевелить по скорости.

Butcher ()
Ответ на: комментарий от Butcher

В общем резюме, если кто пойдёт тем же путём: PaloAlto этого не умеет by design, умеет только в резервирование каналов. Статья, что приводил в комментарии посте вполне рабочая, но требует на обоих концах сходную систему.

Butcher ()