Скачать PDF

Балансировка VPN-подключений

Балансировка VPN-подключений происходит на стороне Ideco Client c использованием SRV-записей DNS.

В SRV-записи DNS нельзя указывать IP-адрес, только FQDN (полностью определенное доменное имя, не имеющее неоднозначностей в определении). При указании IP-адреса в SRV-записи он будет распознан как поддомен зоны. Подробнее про SRV-записи в RFC-2782.

Если при подключении к серверу в ответе приходит редирект с кодом ответа 302, то для полученного в редиректе адреса поиск SRV-записей производиться не будет. Ideco Client сразу подключится по адресу, полученному в редиректе.

Подробнее о работе Ideco Client при редиректе в статье. Обработка запросов c редиректом позволяет использовать VPN-балансировщик для распределения нагрузки между несколькими NGFW.

При указании в параметре target SRV-записи . подключение происходить не будет, и появится сообщение, что сервис недоступен. Этот параметр может настраиваться при регистрации доменного имени или при конфигурации записей для доменного имени.

Алгоритм работы Ideco Client при балансировке

При нажатии кнопки Подключиться Ideco Client проверяет адрес сервера, заданный в настройках профиля, и составляет список для подключения, основываясь на следующих правилах:

1. Если адрес сервера является IP-адресом, то сразу происходит подключение Ideco Client по этому адресу. 2. Если адрес сервера является FQDN, то происходит запрос SRV-записей вида _ideco-client._tcp.<FQDN домена> для указанного FQDN:

  • Если для текущего FQDN есть SRV-записи, то происходит их добавление в список для подключения. Затем происходит сортировка сначала по параметру SRV-записи priority, затем при равенстве параметров priority у двух и более записей происходит сортировка по параметру weight. Подробнее про сортировку weight в RFC-2782.

  • Если для текущего FQDN нет SRV-записей, то происходит разрешение FQDN в IP-адрес с помощью записи типа A и Ideco Client подключается по этому IP-адресу.

После формирования списка для подключения Client пытается подключиться к серверам в этом списке. Если при попытке подключения отправлен редирект с кодом ответа 302, то Client попытается подключиться по указанному в редиректе адресу. Ideco Client будет пытаться подключится до первой успешной установки соединения.

При попытке подключения к хостам из списка могут возникнуть циклические редиректы. На Ideco Client есть ограничение в пять редиректов. При шестом редиректе подключение к текущему серверу считается неуспешным.

PreviousСоздание сертификатов для Device VPNNextПрофили устройств

Last updated

Was this helpful?