Aller au contenu

ipsec, bgp


Mephisto

Messages recommandés

Bonjour,

Cette semaine, je me lance sur une idee a la con pour mon taf, et apres avoir un peu gratte sur google, je commence a me poser des questions sur la faisabilite du bouzin.

En gros, on a 17 sites en europe, chaqun avec son 10.x/16, avec un ou deux (carp/pfsync) OpenBSD ou pfSense en firewall frontal. Chaque bureau est relie aux autres par un tunnel IPSEC reliant le LAN local au /16 distant.

De temps en temps, certains tunnels IPSEC tombent, sans raison particuliere, juste parcequ'il n'y a pas de traffic pour les traverser.

Mon idee serait que, quand le tunnel IPSEC de A vers B est inactif, on puisse faire transiter le traffic par un site C dont les tunnels avec A et B sont fonctionnels.

Je suis donc partie sur openbgpd, et je commence a me documenter ce week-end.

Mais dans les exemples de configuration que j'ai pu voire jusqu'a maintenant, je croise surtout des configurations ou deux serveurs ont deux liens distincts, sur deux interfaces differentes. Je me demande donc s'il sera possible de m'en sortire uniquement avec mon enc0.

J'imagine qu'avec un maxhop > 2, modulo l'elargissement de mes domaines d'encryption pour couvrir 10/8 sur chaque tunnel, se contenter de definir tous ses neighbors sur une seule interface ne posera pas de problemes ?

Ensuite, je me pose la question : ais-je besoin d'OSPF ?

Si mon pf autorise deja le traffic IPSEC, et se contente de router les paquets vers enc0, je peux imaginer que BGP se chargera de definir vers quel(s) firewall(s) faire transiter le traffic pour joindre le reseau voulu ?

Autrement, je ne vois pas bien comment definir la ponderence d'un tunnel IPSEC... A creuser...

Enfin, si mon tunnel IPSEC tombe pour absence de traffic, router les echanges sur d'autres tunnels, ca va encourrager les tunnels bancales a rester inactifs ?

Merci !

edit: pas reflechis... c'est ptetre plus pertinant dans la section reseau...

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...