Добрый день. Используем оборудование, которое из настроек имеет только IP сервера, порт, APN. Серверная часть под виндой. Штатные средства ПО ничего, связанного с маршрутизацией и VPN не умеют. На данный момент все просто - работаем в открытом интернете, статика на сервере, динамика на оборудовании, привязка к передаваемому номеру. Но есть причины переходить на VPN-сеть.
У оператора мобильной связи в других направлениях используем VPN-сеть с отдельным APN. Сугубо локальная сеть вида 10.10.0.0 без какой либо маршрутизации куда либо.
В бланке заявки на модификацию нашей APN или создание новой есть пункт "Наличие доступа в интернет -> Ограниченные доступ(список IP адресов)". Хотелось бы заложить имеющиеся IP.
Как это будет работать при отправке из VPN-сети на белый IP я примерно понимаю, тут сложностей нет. А вот в обратной ситуации, если нам придется из белого IP попасть в VPN-сеть немного не уверен. Я предполагаю, что в данном случае оператор должен предоставить некоторый шлюз для доступа в нашу VPN-сеть и я должен у себя настроить маршрутизацию, мол, если надо попасть на 10.10.0.1 то обращаться в шлюз оператора. Проясните, пожалуйста, какие есть нюансы в этом моменте.
Глобальная задача следующая. Работаем в открытом интернете, 80% SIM-карт одного оператора. Стоит задача работать в VPN, белый IP использовать как резервный и для тех 20% не основных мобильных операторов. Для этих целей имеем 3G-маршрутизатор. Под 20% оборудования выделять средства на железо не будут.
Описание Ваше несколько сумбурное (лучше бы приложить схему). Если правильно понял:
Оператор может сделать на своём шлюзе входящее правило трансляции и из интернета трафик к вам в vpn подсеть придёт уже по l2, тут ему маршруты даже никакие писать не надо, если требуется обратная связь или соединение двустороннее - то уже сложнее, Вам из вашей серой vpn подсети нужен как минимум шлюз по умолчанию для каждого устройства.
Да, писал в спешке, перечитал и сам ничего не понял, прошу прощения. Сейчас у нас есть сервер с белым статическим IP и клиентское оборудование с динамическим IP. Сервер работает по проводу, клиенты - SIM-карты. Все клиентское оборудование общается только с сервером и не более. Сервер может сам генерировать запросы к клиентскому оборудовании на основании последнего IP, с которого передавались пакеты по данному прибору.
Стоит задача работать со статической адресацией, так стабильнее с конкретным типом оборудования, реже отваливается. Самый общий способ, это модем с сим картой на сервер и услуга VPN-сети у оператора мобильной связи. В таком случае все отлично работает, имеем подсеть вида 10.10.0.0 для сервера и клиентских устройств.
Далее идет навеска плюшек. А именно, резервный канал. В месте расположения сервера бывают локальные проблемы с мобильной связью, не часто, но больно. В основном все отлично. Хотелось бы иметь возможность из VPN-сети ходить на белый IP и обратно. Оборудование поддерживает резервный сервер. Ну и данный резервный канал останется основным для небольшого количества оборудования, которое работает с другим оператором.
У оператора заказываем VPN-сеть. Кроме стандартного названия точки доступа, маски, названия подсети и т.д. в бланке заявки, кроме прочего, есть пункт "Наличие доступа в интернет -> Ограниченные доступ(список IP адресов)". Интересуют возможности данного пункта и какие технические условия нужны для его использования. Понятно, что этот вопрос больше к специалистами оператора, но два дня не могу с ними связаться, сменился менеджер, который сейчас порядочно тупит в этом деле.
Теперь всё стало более понятно, но схему всё равно лучше всегда рисовать :)
в принципе совет остаётся практически такой же, если у них есть доступ из VPN в Интернет, значит там будет шлюз, который сможет это смаршрутизировать, тут всё просто, технически, подключаясь по VPN устройства ваши получают серый IP и default gateway (на тот самый маршрутизатор). Но уточнить у провайдера нужно этот момент обязательно! Из описания я делаю только единственный возможный логический вывод, но вы могли выдернуть его из контекста или провайдер что-то не так описал, поэтому лучше проговорить этот момент и желательно описать в договоре на услугу.
Остаётся только вопрос с приложением, сервер умеет failover - ОК, а что с клиентами? Они смогут сами понять что упал основной VPN туннель (сервер по нему не доступен) и нужно переключаться на обычный Интернет канал?
cssman, сервер не умеет толком ничего, узкоспециализированное ПО от монополистов на рынке. Его можно только попытаться обмануть маршрутизациями и т.д. Клиенты делают несколько попыток на один IP и в случае неудачи делают несколько попыток на второй, и так по кругу. При этом APN не меняется, со всеми вытекающими.
protsey, Плохо, но наверное не фатально. Вообще говоря, решение я уже расписал :)
Если клиенты по round robin подключаются, то здесь всё работает как надо, осталось уточнить технические моменты у провайдера и смотреть что с сервером. Нужно чтоб он умел переключать каналы, либо умел слушать сразу на нескольких\всех интерфейсах. Любой из вариантов Вам подойдёт.
