redondance VPN

[marcolin]

Bonjour à tous,

je voudrais votre avis sur une question assez compliquée (à mon sens).
Je voudrais construire un VPN entre 2 réseaux en utilisant FreeS/WAN.
Sur le site A, LAN 192.168.100.0, je dispose de 2 liens ADSL (1024k + 512k), les deux avec une @IP fixe.
Sur le site B, LAN 192.168.200.0, je dispose d'un seul lien ADSL (512k), lui aussi avec une @IP fixe.

Construire le VPN c'est assez simple avec FreeS/WAN, et ça marche bien.

Par contre, je voudrais exploiter le fait d'avoir deux ISP sur le site A pour faire une sorte de redondance de liens VPN.
En effet si un lien tombe (exemple le lien 1024k du site A), je veut reconstruire ce même tunnel sur le lien 512k de A façon automatique.

Alors que plusieurs constructeur de firewall de type appliance (SonicWALL, Neteyes) permettent ce type de configuration, je n'ai pas trouvé de solutions sur FreeS/WAN pour indiquer un adresse secondaire pour le remote gateway d'un tunnel VPN.
Est-ce que FreeS/WAN permet donc ce type de configuration redondante ?
Si oui, comment ?

J'avait pensé à indiquer la passerelle distante (remote gateway) via un enregistrement avec un TTL (Time To Live) à zéro, mais est-ce que je ne risque pas d'augmenter excessivement le trafic DNS ?
Est comment detecter (des deux côtés) que le lien 1024 de A est tomblé et qu'il faut donc reconstruire le tunnel en passant par le deuxième FAI du site A ?
Comment le detecter avant les utilisateurs ?

Ou sinon, est-ce que la Opportunity Encryption peut être unse solution ? Si oni, comment la faire fonctionner avec un equipement tiers (SonicWALL, CISCO, etc ...), qui est conforme à IPsec, mais pas à OE (qui est spécifique à FreeS/WAN en effet) ?

Voici le fichier /etc/ipsec.conf à titre d'example :
------
version 2.0

config setup
interfaces=%defaultroute

conn toulon2paris
auth=esp
authby=rsasig
auto=ignore
compress=yes
keylife=8h
type=tunnel

left=80.1.2.3
leftid=@toulon.domain.com
leftnexthop=192.252.15.2
# leftupdown=/etc/ipsec.d/updown_script
leftrsasigkey=0sAQNK/fifkSaoGefg2brg+pv3IaXdaKATdYb4Kx6K2AL1cno1G1oGgjYP5TztQFiXkcLHepS94YIahzNvdgNYume3riKLoWwHprCXs8ReMpZLGle9FK21DXz+ScX6CjZ8Jx8p1p8l/jR7pWb+n2e/ai0ZFX7isRrkUGNuXuUqIMuRN2gU2LLmNDA/OFH940/GVGMZjuIpy2ID/q4Tji1txqeNrQiRXYRcub0i260D5+Cmrm40G9ArUuh5YRQm4sdRItbykxOouxG7rjdyAMoZfzoMqy3MXwLb7fz0rE6kxANpIdCm79X/NkboUT8LRmemJCJy+dTHRhmdHi9u7z7n0OCwbTTYMmBcQbJljubNjGUIQTAj
leftsubnet=192.168.100.0/24

right=211.2.4.6
rightid=@paris.domain.com
rightnexthop=212.15.16.148
# rightupdown=/etc/ipsec.d/updown_script rightrsasigkey=0sAQOtTj+NDXNhs5i+s7U19BdSH0P68gyQVy4zYGth5V0bUR3AqZYrfihY0eqN2bXvaWGghqx8YSGCpRjktqu/10sFDC9IbhZGCyFnvL+lcst6/uCUiHrulcBzOKYwdWEeGiPje1gtAMWkEL+t2dGYMoCs4ucFWCVS0JH5N8oQadN3z38H2ogW4bQFNaeIHsm2dCNlqHAGU+NzqtJx5c6TVVFt2zGu/Y0nwHemObu72h9QUdtyBixkyv3GWWevLe4ODsFiL/LdUMtqgZjKUkkW9JstIhT6sIIlbxldhba8tWvq9K/EFS/oheaL2/Lg+gIQ3JuzgEJUBc0nJbtqYZdKJg6szl/SIkeYerwTvy1k45OqOKJ1
rightsubnet=192.168.200.0/24


Merci pour votre aide, toute idée est la bienvenue.

marcolin

[Methos_Hi]

Je ne sais pas si FreeS/wan gèreçà automatiquement.

Mais autrement tu peux envisager de faire 2 VPN distincts avec un routage qui priviligie le lien 1024.

[bobox]

salut

tu peut toujours regarder cela

viewtopic.php?t=13032&highlight=heartbeat

http://www.alcove.com/fr/alcove/ressour ... per_HA.pdf


pour commencer en esperant que tu puisse trouver ton bonheur


A+