Jump to content
  • 16

MultiWAN policy routing в NDMS 2.12+.


Le ecureuil

Question

Recommended Posts

  • 1
15 минут назад, dexter сказал:

Что сделал:

- подключил резерв через ТД созданную на телефоне

Прописал:


ip policy test
    permit global WifiMaster0/WifiStation0 - ТД резерв через телефон для тестов
    no permit global OTS - основное соединение

ip hotspot
    host a0:88:b4:54:b1:d4 permit - хост с которого пингую яндекс
    host a0:88:b4:54:b1:d4 policy test
    default-policy permit

В данный момент трассировка обрывается на роутере.

 

Создал такой вариант как у вас только

Инет1 ----- роутер ---- Клиент1
Инет2 --------+

ip policy Policy0
    description Proba
    permit global PPPoE1
    no permit global PPPoE0
  ....

ip hotspot
    ....
    host xx:xx:xx:xx:xx:e2 permit
    host xx:xx:xx:xx:xx:e2 policy Policy0
    default-policy deny

Все ОК

 

Пробовал схему до данного релиза 212А501

Инет ----- Роутер1 ---- wi-fi ----- Роутер2 ----- Клиент

При обычной схеме есть некоторые заморочки у клиента при IP DNS роутер1 на нем, а если IP DNS на клиенте поставить IP от роутера2 то все ОК.

Я описывал такую ситуацию ранее при схеме

Инет ----- Роутер1 ---- LAN ---- Роутер2 ----- Клиент

Заморочки у роутера2 по доступу к роутер1, у Клиента все ОК.

Edited by vasek00
Link to comment
Share on other sites

  • 1
1 час назад, vasek00 сказал:

О каком balance mode идет речь, речь идет о

Тогда смотрим ip route для Unix

в общем  сделать "красиво", как у того же Синолоджи, из web интерфейса пока не судьба.... ok - жаль

Edited by aarnet
Link to comment
Share on other sites

  • 1
6 часов назад, Le ecureuil сказал:

У С там L2-агрегация, у нас же L3+L4.

вы про уровни ? с точки зрения пользователя какая разница ? ему надо что б работало...

  • Upvote 1
Link to comment
Share on other sites

  • 0

Пока вроде в норме на двух каналах, клиента переносил из профиля доступа одного в другой, трассер показывал на согласно выставленным приоритетам по каналам для данного профиля.

Не много не привычно, например можно два профиля в каждом устанавливают нужный канал или каналы (можно основной и резервный, меняя их приоритет в данном профиле)

known host Клиент_1 хх:хх:хх:хх:05:d9
known host Клиент_2 bb:bb:bb:bb:1e:73
known host Клиент_3 аа:аа:аа:аа:c4:be

ip dhcp host хх:хх:хх:хх:05:d9 192.168.1.21
ip dhcp host аа:аа:аа:аа:c4:be 192.168.1.17

ip policy Policy0
    description Proba
    permit global PPPoE1
    permit global PPPoE0
    no permit global Asix
    no permit global FastEthernet0/Vlan3
    no permit global ISP

ip hotspot
….
    host аа:аа:аа:аа:c4:be permit 			??????????????????????
    host аа:аа:аа:аа:c4:be policy Policy0
    host cc:cc:cc:cc:3c:94 permit
    ….
    host хх:хх:хх:хх:05:d9 deny
    default-policy deny

Клиент_3 аа:аа:аа:аа:c4:be попал в профиль Proba - имеет доступ в интернет и default на PPPoE1 для всех остальных клиентов основной канал PPPoE0. Трассер с Клиент_3 подтвердил данные по маршруту через PPPoE1.

 

Link to comment
Share on other sites

  • 0

Возможно ли в дальнейшем расширение до полноценного PBR по портам? Типа "не гнать торренты (source host aa:bb:cc:dd:ee port 1234) в 3G-модем"?

  • Upvote 2
Link to comment
Share on other sites

  • 0
14 минуты назад, KorDen сказал:

Возможно ли в дальнейшем расширение до полноценного PBR по портам? Типа "не гнать торренты (source host aa:bb:cc:dd:ee port 1234) в 3G-модем"?

Может быть, но пока давайте хотя бы вариант с раскидыванием хостов и встроенных в Keenetic сервисов по нужным политикам доведем до ума. :)

Ну и load-balancing на несколько каналов мне видится тоже приоритетнее.

  • Upvote 3
Link to comment
Share on other sites

  • 0

Сегодня попробую хост в IP-IP туннель завернуть. Поддержу KorDen в просьбе, т.к. не весь трафик хоста хотелось бы гнать через туннель, а только торренты.

  • Upvote 1
Link to comment
Share on other sites

  • 0
4 минуты назад, dexter сказал:

Сегодня попробую хост в IP-IP туннель завернуть. Поддержу KorDen в просьбе, т.к. не весь трафик хоста хотелось бы гнать через туннель, а только торренты.

Если подскажете, как дешево (в смысле нагрузки на CPU) отличить каждый TCP/UDP поток торрента от TCP/UDP потока неторрента, то подумаем. Пока у меня идей нет.

  • Upvote 1
Link to comment
Share on other sites

  • 0

А мне бы интересно при двух каналах и dnsmasq гнать запросы на два DNS по разным каналам, т.е. имеем  :

server=IP_DNS1
server=IP_DNS2
all-servers

есть IP_DNS1 то по одному маршруту, IP_DNS2 по другому или список http://192.168.1.1/_/controlPanel/policies добавить получателя и маршрут для него

IP_адресс -> маршрут

 

13 минуты назад, Le ecureuil сказал:

Если подскажете, как дешево (в смысле нагрузки на CPU) отличить каждый TCP/UDP поток торрента от TCP/UDP потока неторрента, то подумаем. Пока у меня идей нет.

Торрент весит на определенном порту (естественно на стат а не на динамическом) т.е. все что с "IP:порт_А" и все остальное "IP"

Link to comment
Share on other sites

  • 0
28 минут назад, Le ecureuil сказал:

Может быть, но пока давайте хотя бы вариант с раскидыванием хостов и встроенных в Keenetic сервисов по нужным политикам доведем до ума. :)

Ну и load-balancing на несколько каналов мне видится тоже приоритетнее.

т.е. равномерное распределение нагрузки по каналам или как быть с сайтами с авторизацией на которых маршрут должен быть сохранен на все время, но тогда это не "load-balancing"

Link to comment
Share on other sites

  • 0
8 минут назад, vasek00 сказал:

Торрент весит на определенном порту (естественно на стат а не на динамическом) т.е. все что с "IP:порт_А" и все остальное "IP"

Это только входящих соединений трафик на один порт. А исходящий?

ЗЫ да все равно костыль, только если торрент не меняет порты каждый раз.

 

Edited by r13
Link to comment
Share on other sites

  • 0
11 минуту назад, r13 сказал:

ЗЫ да все равно костыль, только если торрент не меняет порты каждый раз.

В настройках если на статике то не меняет. А вот с исходящими да.

Link to comment
Share on other sites

  • 0
1 час назад, Le ecureuil сказал:

Если подскажете, как дешево (в смысле нагрузки на CPU) отличить каждый TCP/UDP поток торрента от TCP/UDP потока неторрента, то подумаем. Пока у меня идей нет.

По порту со стороны клиента же, как я и написал... Ну т.е. в клиенте строго указываем исходящий порт (диапазон), входящий трафик уже идет на один конкретный порт. А дальше политика на tcp/udp стримы с диапазона портов. В том числе в идеале хитрую политику на распределение по двум каналам...

Или выделение по tcp/udp порту - тяжелая нагрузка?

Edited by KorDen
Link to comment
Share on other sites

  • 0
29 минут назад, KorDen сказал:

По порту со стороны клиента же, как я и написал... Ну т.е. в клиенте строго указываем исходящий порт (диапазон), входящий трафик уже идет на один конкретный порт. А дальше политика на tcp/udp стримы с диапазона портов. В том числе в идеале хитрую политику на распределение по двум каналам...

Или выделение по tcp/udp порту - тяжелая нагрузка?

А много клиентов умеют задавать порты источника для исходящих содинений? Я что-то не помню, покажите если так.

В таком случае конечно можно.

Link to comment
Share on other sites

  • 0

Политики Доступа!

Создал новый профиль - аналог Основного профиля. К новому профилю привязал одно устройство - все, у этого устройство ПРОПАЛ Интернет! Хотя этот профиль выглядит точно так же, как и Основной профиль! Если перекинуть из этого нового профиля это устройство назад в Основной профиль, то интернет сразу же ПОЯВЛЯЕТСЯ снова!

Почему так?

 

Первоначально была попытка создать профиль и засунуть туда устройство, которое должно гнать весь трафик через OpenVPN

Профиль:

1.OpenVPN - основной приоритет

2.Интернет (L2TP0) - резервный приоритет.

Но получилось так: Пока OpenVPN работает, устройство нормально гонит трафик через VPN, потом я вручную отключаю VPN-соединение и у устройства пропадает совсем Интернет, хотя в профиле (второй строкой-резервное) имеется Подключение (L2TP0).

Разве так должно быть?

 

Link to comment
Share on other sites

  • 0
2 часа назад, Le ecureuil сказал:

А много клиентов умеют задавать порты источника для исходящих содинений?

Из виндовых как минимум в uTorrent и qBittorrent можно указать диапазон исходящих портов, и оно правильно работает, проверено.

 

Скажем, есть основной толстый проводной инет; резерв LTE-модем; VPN через текущий дефолтный канал. Большинство клиентов ходят через текущий дефолт.

Для торрентов (source-based) и другого тяжелого, но не критичного трафика (скажем, онлайн-видеонаблюдение, при наличии локальной записи - тут уже destination ip:port based) задан жестко только толстый инет, и при его падении они должны дохнуть, чтобы не забить резерв и не выкачать лимит.

При этом я например могу независимо закинуть условно ПК где крутятся торренты ходить в сеть через канал VPN, но торренты должны продолжить ходить через инет (по задаваемому приоритету правил или по принципу наиболее точного правила)

Дальше думаю о том, что вроде как нельзя рулить destination ip/port, Мыcль улетает в сторону традиционных цисковских access-list или -t mangle -j mark, потому что как-то не совсем ясно, как будут указываться разные диапазоны входящих/исходящих портов в Ip hotspot.

Скажем, правило "только толстый канал" в моем представлении бы содержало что-то типа (имена переменных условны)

src_host aa:bb:cc:dd:ee:ff src_port tcp 20000 through 21000
src_host aa:bb:cc:dd:ee:ff src_port udp 20000 through 21000
dst_host 1.2.3.4 dst_port tcp 8443
dst_host 5.6.7.8/24

При этом у этого правила высший приоритет, дальше с приоритетом пониже я могу добавить для src aa:bb:cc:dd:ee:ff  правило "ходить только через vpn" а условные торренты и пакеты в сетку 5.6.7.8/24 продолжат ходить мимо VPN (последнее это по сути обычный маршрут через заданный, добавлено для наглядности и чтобы были понятны приоритеты)

Короче, типичный mangle/mark, только интегрированный с существующей системой резервирования инета.

Link to comment
Share on other sites

  • 0

@eralde @Dmitry Tishkin В настройках не хватает(или не нашел) возможности перенести в политику сразу всех зарегистрированных клиентов. По одному их выделять не удобно. Нужна опция select all

  • Thanks 1
Link to comment
Share on other sites

  • 0
1 час назад, ShadoW сказал:

Политики Доступа!

Создал новый профиль - аналог Основного профиля. К новому профилю привязал одно устройство - все, у этого устройство ПРОПАЛ Интернет! Хотя этот профиль выглядит точно так же, как и Основной профиль! Если перекинуть из этого нового профиля это устройство назад в Основной профиль, то интернет сразу же ПОЯВЛЯЕТСЯ снова!

Почему так?

 

Первоначально была попытка создать профиль и засунуть туда устройство, которое должно гнать весь трафик через OpenVPN

Профиль:

1.OpenVPN - основной приоритет

2.Интернет (L2TP0) - резервный приоритет.

Но получилось так: Пока OpenVPN работает, устройство нормально гонит трафик через VPN, потом я вручную отключаю VPN-соединение и у устройства пропадает совсем Интернет, хотя в профиле (второй строкой-резервное) имеется Подключение (L2TP0).

Разве так должно быть?

 

Включайте system debug, отключайте openvpn, снимайте self-test и кидайте сюда. Посмотрим, что не так.

Link to comment
Share on other sites

  • 0

Что-то ничего не выходит.

Что сделал:

- подключил резерв через ТД созданную на телефоне

Прописал:

ip policy test
    permit global WifiMaster0/WifiStation0 - ТД резерв через телефон для тестов
    no permit global OTS - основное соединение
ip hotspot
    host a0:88:b4:54:b1:d4 permit - хост с которого пингую яндекс
    host a0:88:b4:54:b1:d4 policy test
    default-policy permit

В данный момент трассировка обрывается на роутере.

Селф-тест в режиме дебаг скрытым постом ниже.

Link to comment
Share on other sites

  • 0
50 минут назад, KorDen сказал:

Из виндовых как минимум в uTorrent и qBittorrent можно указать диапазон исходящих портов, и оно правильно работает, проверено.

При этом я например могу независимо закинуть условно ПК где крутятся торренты ходить в сеть через канал VPN, но торренты должны продолжить ходить через инет (по задаваемому приоритету правил или по принципу наиболее точного правила)

Дальше думаю о том, что вроде как нельзя рулить destination ip/port, Мыcль улетает в сторону традиционных цисковских access-list или -t mangle -j mark, потому что как-то не совсем ясно, как будут указываться разные диапазоны входящих/исходящих портов в Ip hotspot.

 

Короче, типичный mangle/mark, только интегрированный с существующей системой резервирования инета.

1. часть как то все очень наворочено особенно для обычного пользователя

2. часть mangle/mark маловероятно думаю => при HW_NAT и загрузке CPU в данном случае (особенно для 7628)

Link to comment
Share on other sites

  • 0

@Le ecureuil

А как сделать сделать такую картинку:

Есть глобальный интерфейс, допустим VPN1

Для  политики 1 VPN1в списке кандидатов default route

Для  политики 2 VPN1 исключен из списка кандидатов default route

Как получить возможность доступа к интерфейсу VPN1 для устройств из политики 2 при этом не делая его возможным резервом?

 

Link to comment
Share on other sites

  • 0
1 минуту назад, dexter сказал:

Нифига не работает. default-policy на deny поменял, но ничего не меняется.

речь не про deny а про связку "роутер1-------роутер2" как то сказывается настройка политики интерфейсов между двумя роутерами (это было и ранее до данного релиза 212А501)

Link to comment
Share on other sites

  • 0

Так, свою проблему я решил. Из-за моих настроек сегментов вида:

ip static Vlan101 OTS
ip static Vlan104-MCAST OTS
ip static Guest OTS
ip static Home OTS

Пока не прописал 

ip static Home WifiMaster0/WifiStation0

пакеты не шли.

Теперь всё заработало и я пошел через Мегафон(WifiMaster0/WifiStation0).

Link to comment
Share on other sites

  • 0
52 минуты назад, r13 сказал:

@Le ecureuil

А как сделать сделать такую картинку:

Есть глобальный интерфейс, допустим VPN1

Для  политики 1 VPN1в списке кандидатов default route

Для  политики 2 VPN1 исключен из списка кандидатов default route

Как получить возможность доступа к интерфейсу VPN1 для устройств из политики 2 при этом не делая его возможным резервом?

 

Никак, такой функционал не закладывался.

Link to comment
Share on other sites

  • 0

У меня почему то сначала не было страницы приоритетов после обновления, но как использовал ссылку эту, она сразу возникла

8 часов назад, vasek00 сказал:

есть IP_DNS1 то по одному маршруту, IP_DNS2 по другому или список http://192.168.1.1/_/controlPanel/policies добавить получателя и маршрут для него

IP_адресс -> маршрут

 

Link to comment
Share on other sites

  • 0

@Le ecureuil

В картинке с policy с одной стороны глобальные интерфейсы, с другой private|protected. А как в этой парадигме использовать public non global интерфейсы?

Link to comment
Share on other sites

  • 0

Подскажите как мне загнать хост с IP 192.168.100.253 в IPIP туннель и вывести его в инет через удаленный роутер.

Оба роутера соединены через IPIP IPSec туннель. U2 выступает в качестве сервера к ней и подключен клиент, а U1 выступает в качестве клиента, через него я и хочу выйти в инет.

Туннель на обоих концах имеет security-level private и через него маршрутизируются удаленные сети.

Конфиг U2.

Скрытый текст

! $$$ Model: ZyXEL Keenetic Ultra II
known host lenovo-book-wifi a0:88:b4:54:b1:d4
!

interface GigabitEthernet0/Vlan100
    rename Vlan100-Home
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface GigabitEthernet1
    rename OTS
    description Internet
    mac address factory wan
    security-level public
    ip address dhcp
    ip dhcp client no dns-routes
    ip dhcp client no name-servers
    ip access-group _WEBADMIN_OTS in
    ip global 700
    igmp upstream
    up
!
interface Bridge0
    rename Home
    inherit Vlan100-Home
    include AccessPoint
    include AccessPoint_5G
    security-level private
    ip address 192.168.100.254 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface IPIP0
    security-level private
    ip address 192.168.254.254 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key ns3 hrKENPUvPCHOXOe+Wg03E2wD
    ipsec ikev2
    tunnel source auto
    up
!
ip route 192.168.30.0 255.255.255.0 192.168.254.253 IPIP0 auto

!

ip hotspot
    host a0:88:b4:54:b1:d4 permit
    default-policy permit
!

Конфиг U1

Скрытый текст

! $$$ Model: ZyXEL Keenetic Ultra

interface GigabitEthernet0/Vlan2
    rename ISP
    description "Broadband connection"
    mac address factory wan
    security-level public
    ip address dhcp
    ip dhcp client hostname bikovo-17
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip mtu 1500
    ip access-group _WEBADMIN_ISP in
    ip global 700
    igmp upstream
    up
!
interface Bridge0
    rename Home-Lan
    inherit Vlan30-Home-Lan
    include AccessPoint
    include AccessPoint_5G
    security-level private
    ip address 192.168.30.254 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface IPIP0
    security-level private
    ip address 192.168.254.253 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key ns3 hrKENPUvPCHOXOe+Wg03E2wD
    ipsec ikev2
    tunnel destination 31.129.200.42
    up
!
ip route 192.168.100.0 255.255.255.0 192.168.254.254 IPIP0 auto
!
ip static Home-Lan ISP

 

Untitled Diagram.jpg

Edited by dexter
Link to comment
Share on other sites

  • 0
42 минуты назад, dexter сказал:

Подскажите как мне загнать хост с IP 192.168.100.253 в IPIP туннель и вывести его в инет через удаленный роутер.

Оба роутера соединены через IPIP IPSec туннель. U2 выступает в качестве сервера к ней и подключен клиент, а U1 выступает в качестве клиента, через него я и хочу выйти в инет.

Туннель на обоих концах имеет security-level private и через него маршрутизируются удаленные сети.

Конфиг U2.

  Показать содержимое

Конфиг U1

  Показать содержимое

 

Untitled Diagram.jpg

Пока на клиенте не сделаете туннель с SL public и ip global > 0 и не пропишете default route на него через ip route - никак.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...