Vpn
StrongSWAN/OpenSWAN 的兩個具有相同右子網的隧道
我正在嘗試為 Google Cloud VPN 設置“選項 3”配置,左側有兩個 Google Cloud VPN 網關,右側有 StrongSWAN 或 OpenSWAN:
如果您有兩個 Peer VPN 網關和兩個 Compute Engine VPN 網關,則每個 Compute Engine VPN 網關可以有一個指向每個 Peer VPN 網關公共 IP 的隧道,從而在 VPN 網關之間為您提供四個負載平衡的隧道,從而可能將頻寬增加 4 倍。
問題是,據我所知,在主動/主動配置中執行此操作(兩個隧道都服務流量)要求兩個對等網關具有相同的
rightsubnet
,這會導致第二個隧道因“路由已在使用”而出錯:Sep 14 15:44:02 test-vpn ipsec: 002 added connection description "google1" Sep 14 15:44:02 test-vpn ipsec: 002 added connection description "google2" Sep 14 15:44:02 test-vpn ipsec: 003 "google2": cannot route -- route already in use for "google1" Sep 14 15:44:02 test-vpn ipsec: 025 "google2": could not route
有什麼方法可以使用 StrongSWAN、OpenSWAN 或其他軟體 VPN 包支持此配置?我看到StrongSWAN有一個實驗性的高可用性模式,但這看起來很繁瑣,而且似乎不兼容。
正如您在增加 VPN 吞吐量文章的選項 1 和選項 2 中可能注意到的那樣,Compute Engine VPN 網關或網路會自動對到 Peer VPN 網關的流量進行負載平衡。
對於選項 3,您需要創建一個 VPN 網關集群來為您的 IPsec VPN 網關執行負載平衡。
正如您所提到的,這可以使用StrongSwan 的負載共享集群功能來完成,或者您可以設置一個負載平衡器(如HAProxy)來跨對等 VPN 網關分配來自遠端網路的工作負載。