Назад | Перейти на главную страницу

Варианты восстановления OpenSwan на LibreSwan без простоев?

Все это в среде AWS VPC.

У нас есть старая машина с Ubuntu 12.04, на которой работает OpenSwan, который управляет множеством VPN-подключений. До сих пор это хорошо работало для нас, но 12.04 больше не поддерживается, а OpenSwan - EOL, поэтому мы хотим перейти на 18.04 и LibreSwan (которые, как мы понимаем, должны быть в значительной степени совместимы).

У меня вопрос: какие у нас есть варианты сделать это с минимальным временем простоя и без согласования с другими сторонами всех этих подключений?

Теоретически я мог бы просто собрать коробку, скопировать конфигурации и в какой-то момент перевернуть виртуальный IP-адрес, но это звучит ... вряд ли будет хорошо работать без большого количества простоев.

В идеале я хотел бы каким-то образом направлять только один источник в новый ящик за раз и переносить их понемногу, тестируя по ходу. Но я не знаю, какую магию маршрутизации мне нужно сделать, чтобы это произошло на уровне VPC или на другом уровне. Насколько я могу судить, виртуальные общедоступные IP-адреса AWS могут принадлежать только одной машине за раз, поэтому я не уверен, как я буду перенаправлять весь трафик, скажем, с одного из других шлюзов на новый ящик, оставив остальной на старом.

Одно упрощение заключается в том, что весь частный трафик остается на этом хосте. IE, мы не маршрутизируем трафик ЧЕРЕЗ этот ящик, а скорее этот ящик имеет дело со всем этим частным трафиком внутри. Так что я думаю, что это упрощение.

Конечно, я не могу быть первым, кто столкнется с этим, как выполняются такие миграции ipsec?