domingo, 3 de febrero de 2013

Memorias de un Failover Vago para Internet


Resulta que trabajo en Guayaquil y tenemos una oficina en Quito. Cada oficina tiene un acceso a internet independiente y existe un enlace dedicado Guayaquil-Quito para transmisión de datos. En cada punto tenemos un Firewall.

El esquema general de red (Está feo, lo hice al apuro con Dia) es más o menos así:




En donde:
  • Fw1 = Firewall de Oficina Guayaquil
  • R1 = Router de Acceso a Internet en Guayaquil
  • R2 = Router para el Canal Dedicado de Transmisión de Datos
  • Fw2 = Firewall de Oficina Quito (IP Privada: 192.168.3.1)
  • R3 = Router de Acceso a Internet en Quito (IP Publica: 186.42.x.y)
  • R4 = Router para el Canal Dedicado de Transmisión de Datos (IP Privada: 192.168.3.254)

Y el día lunes nos tocó "la del lunes" el ISP de Quito tuvo problemas y nos quedamos sin acceso a Internet en este punto. Y para ponerle más emoción, ese día había una reunión de directivos en Quito.

Lo que se me ocurrió en ese momento es lo siguiente:
  1. Verificar desde GYE que existe comunicación con el Firewall de Quito (Fw2) a través del canal dedicado:
    ping 192.168.3.1

  2. Ingresar al Firewall de Quito (Fw2) a través de SSH haciendo uso de la dirección privada (192.168.3.1).
  3. Ejecutar como root los siguientes comandos:
    route del default gw 186.42.x.y
    route add default gw 192.168.3.254
    ip route flush cache
    

    El primer comando elimina el gateway que tiene por defecto el Firewall de Quito, luego se agrega una ruta hacia el router del Canal Dedicado: 192.168.3.254. Y el último comando borra las rutas almacenadas en caché.
  4. Habilitar en el Firewall de Guayaquil (Fw1) una regla que permita acceder a Internet a la dirección del Fw2 (192.168.3.1).
  5. Realizar las pruebas de Navegación.

Cuando se restablezca el Servicio de Acceso a Internet en Quito:
  1. Lo más fácil es reiniciar el Fw2.
  2. Sino se puede reiniciar el equipo, entonces ejecutar los siguientes comandos como root en el servidor proxy:
    route del default gw 192.168.3.254
    route add default gw 186.42.x.y
    ip route flush cache
    

  3. Deshacer los cambios en el Fw1 de Guayaquil, es decir quitar o deshabilitar la regla que permite navegar al Fw2.
  4. Realizar las pruebas de navegación.

Y eso fue todo, estuve leyendo como automatizar todo esto, pero eso ya queda para otro rato.

Saludos

"Transporta un puñado de tierra todos los días y construirás una montaña" - Confucio