Eu tenho um grupo de escritórios que estão todos conectados ao escritório principal por meio de links DSL no outro lado para economizar custos. (Nós somos uma organização sem fins lucrativos, não pergunte)
Nós historicamente tivemos problemas notáveis com o link-up entre o ISP que lida com nossos sites remotos e o ISP que lida com as linhas T1 em que o OpenVPN é executado, então esses links freqüentemente caem.
A interface pública do nosso servidor de e-mail está na rede do primeiro provedor, então funcionou muito bem, mas é muito mais lento porque também é DSL.
Para resolver os problemas de falta de confiabilidade da rede upstream, eu escrevi um script que simplesmente modifica os registros DNS nos sites remotos para apontar para o IP interno se o túnel estiver ativo ou o IP público se o túnel VPN para o site principal está inoperante.
Como posso fazer isso de uma maneira mais elegante, que será instantânea (em vez de meus scripts baseados em cron) e transparente para os usuários?
Editar: Escritórios remotos: Servidores LTSP do Ubuntu 9.10 executando vários Actiontecs & Motorola e alguns com Netgears e firewall Linksys. Escritório principal: Quase 100% Linux (CentOS, neste caso) com vários firewalls da série Netgear FVS318 / 338 com firewalls individuais para cada IP em nosso / 27. (outro não pergunte, foi antes de eu chegar aqui)
O OpenVPN deve ser capaz de executar comandos após a criação e terminação de túneis. Em vez de ter esse trabalho executado em um cron, você pode ter o embaralhamento de registro DNS acionado por esses eventos. Então, você só precisa monitorar algo sobre o link não confiável para saber quando reiniciar o túnel VPN.
Depende do seu orçamento. O IP SLA da Cisco (e definitivamente outros) faz exatamente isso. Aqui está um excelente ponto de partida
Você pode conseguir isso sem mais nada. Presumo que o DNS de seus usuários aponte para o roteador do seu site remoto. No roteador de seu site remoto, você pode adicionar o DNS primário de seu primeiro provedor e DNS secundário para seu segundo provedor. A maioria dos roteadores atualmente é esperta o suficiente para falhar no secundário quando o primário falha.
EDIT: Para ser justo, dependendo da sua DSL você pode encontrar um roteador cisco usado de US $ 60. Desde IP SLA's são suportados desde 12.3 (14) T