Как правильно организовать вывод сервисов в мир?

Question

[Obsession2049]

Что имею:

ISP1:
статика 172.16.0.0/30
так же провайдер маршрутит на меня сеточку 172.16.0.192/29 (Крутится на R-1)
ISP2(аля резерв):
DHCP (пришит) 172.20.0.0/30
Дальше моё хозяйство:
pfsense:
eth1 – 172.16.0.2/30 (ISP1 failover routgrup 1*1)
eth2 – 172.20.0.2/… (ISP 2 failover routgrup 1*2)
eth3 – 10.0.0.1/24 (link to int_router mikrotik)
route:
dts: 0.0.0.0/0 gw: routgrup1
dst - 172.16.0.192/29 gw - 10.0.0.2/24
nat:
src - 10.0.0.0/24 to-src - failover
Mikrotik:
eth1 – 10.0.0.2/24
eth2 – 192.168.0.1/24 (DHCP c привязками)
eth3 – 192.168.1.1/24 (DHCP с привязками)
br0 – 172.16.0.193
172.16.0.194
172.16.0.195
172.16.0.196
172.16.0.197
172.16.0.198
route:
dst: 0.0.0.0/0 gw: 10.0.0.1
nat:
src – office to-src - 10.0.0.2
src – npm to-src – 172.16.0.193
src – mail server to-src - 172.16.0.194
src – 1c-srv-web to-src - 172.16.0.195
….

Как есть:
Провайдер 1 дает мне интернет и сеточку адресов, на адресах сидят доменные имена через бегет. В слечае когда работает провайдер 1 всё ок, сервисы доступны, всё ходит идеально.
Если падает провайдер 1 падает то маршрутизируемая сеть естественно отпадает, изнутри сервисы доступны по внешним адресам (оно и понятно) а вот снаружи нет, больше всех страдает почтарь, который начинает достукиваться до интернета по второму своему интерфейсу (это исправимо) и компрометирует себя. Ну и серверы которые ходят в мир через NPM (nginx proxy manager) тоже отпадают.
Суть того что хочу:
арендовать ВПС на стороне, поднять до него тунель с pfsensa, чтоб поднимался через обоих провайдеров, на стороне впс взять несколько адресов и раскидать, как внутри у меня, сервисы доступа. Ещё, наверное, но это не точно, есть желание поднять на этом впс PMG (proxmox mail gateway)
Сервера крутятся в проксмоксах, по этому изменить что либо на лету нет проблем.
вопрос по большей части в том, как правильно это организовать, если это будет один туннель то как раскидать сервисы сильно не извращаясь с кучей натов, если это будет куча тунелей, что это даст. В обще дилемма в организации. Коллеги посоветуйте.

Comments

[Valentin Barbolin]

Публикуем ресурсы сразу на двух провайдерах (NAT), берем VPS, поднимаем nginx, настраиваем таймауты когда nginx должен переключиться на ресурсы опубликованные на втором провайдере. VPN не нужен (есть у тебя белые адреса от провайдеров).
PMG - неплохая идея, будет аккумулировать на себе входящие пока в офисе не будет интернета, но это не обязательно если у тебя уже два провайдера, то можно прописать MX сразу для двух внешних адресов.

Answer 1

[Massacre_Rage]

Берешь в аренду автономную систему с пуллом адресов /24
Коннектишься своей автономной системой с двумя провайдерами
Заполняешь данные для РКН
Не паришься когда падает один из провайдеров

Comments

[Руслан Федосеев]

красиво, правильно, но в 90% случаев нереализуемо. То админа нет, то с бгп сложности...

[Obsession2049]

не вариант в принципе. хотя план хорош.

Answer 2

[Alexey Dmitriev]

Основных вариантов два:
1. AS - автономная система и BGP - ответ дан выше.
2. Внешний балансировщик - указан в качестве предложения у автора.
Но ваше предложение имеет изьян - ваш VPS не даст нормальной откатзоустойчивости. Поэтому правильнее брать готовую услугу load balancer у любого провайдера, где за высокодоступностью будут следить они.
Можно даже вкупе с системами antiddos блабла типа Qrator.

Что же по вашему решению - не имеет значения как VPS будет иметь доступ к вебсайтам внутри через двух провайдеров - через VPN, или например NAT с ограничением по ip адресам. Любой балансировщик \ reverse proxy сам разберется, что нужно ходить через другого провайдера если один упал и т.п.