Jump to content
  • 16

MultiWAN policy routing в NDMS 2.12+.


Le ecureuil

Question

Recommended Posts

  • 0
2 часа назад, Trumph сказал:

ну это просто про "никогда"

Мы в курсе про VTI, но @r13 прав, до перехода на новое ядро об этом вообще рано думать. Портировать что-то крупное в 3.4 сейчас уже немного поздно - слишком разошелся контекст.

Link to comment
Share on other sites

  • 0

@Le ecureuil а вот эта тема, с возможностью использовать политики для vpn соединений вместо «подключаться через» жива или загнулась? разработка ведется?

 

Edited by r13
Link to comment
Share on other sites

  • 0
В 22.12.2018 в 02:58, r13 сказал:

@Le ecureuil а вот эта тема, с возможностью использовать политики для vpn соединений вместо «подключаться через» жива или загнулась? разработка ведется?

 

Разработка ведется, но пока сложно спрогнозировать завершение.

Link to comment
Share on other sites

  • 0
В 10.12.2018 в 14:44, Trumph сказал:

ну зачем же так категорично

https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN

 

это тунель внутри айписека... всеже айписек не роутится)

Link to comment
Share on other sites

  • 0
В 11.01.2019 в 20:43, Alexander Eerie сказал:

это тунель внутри айписека... всеже айписек не роутится)

Там рекомендуется делать хитро - селекторы 0.0.0.0/0 в оба конца + маркировка, и маркировать нужный нам трафик.

Хотя да, это не похоже на проприетарные костыли от других вендоров.

Link to comment
Share on other sites

  • 0
В 22.12.2018 в 02:58, r13 сказал:

@Le ecureuil а вот эта тема, с возможностью использовать политики для vpn соединений вместо «подключаться через» жива или загнулась? разработка ведется?

 

@Le ecureuil добрый день, подвижек в этом направлении нет?

ЗЫ может отдельную тему в развитии завести?

Link to comment
Share on other sites

  • 0

Добрый день.

Подскажите, в чем может быть проблема.

Маршрутизатор Omni (KN-1410), версия ОС 3.1

Интернет от двух провайдеров, PPPoE со статикой и PPPoE без статики. Была включена балансировка и все прекрасно работало.

У провайдера без статики подключили услугу статический IP, и тип подключения сменился с PPPoE без статики на IPN без авторизации. В такой конфигурации балансировка работает некорректно. Изнутри сети все работает. А вот извне случайные хосты не видят внешние IP ни первого ни второго провайдера.

 

Link to comment
Share on other sites

  • 0
В 25.09.2019 в 08:58, Aleksey Evsyukov сказал:

Добрый день.

Подскажите, в чем может быть проблема.

Маршрутизатор Omni (KN-1410), версия ОС 3.1

Интернет от двух провайдеров, PPPoE со статикой и PPPoE без статики. Была включена балансировка и все прекрасно работало.

У провайдера без статики подключили услугу статический IP, и тип подключения сменился с PPPoE без статики на IPN без авторизации. В такой конфигурации балансировка работает некорректно. Изнутри сети все работает. А вот извне случайные хосты не видят внешние IP ни первого ни второго провайдера.

 

Вам в техподдержку.

Link to comment
Share on other sites

  • 0

Le ecureuil, не стандартный вопрос. Можно ли подключить одного, и того же провайдера, но двумя кабелями по 100 мегабит. Можно ли будет сделать с них MultiWAN, и разбросать клиентов по профилям?

Link to comment
Share on other sites

  • 0
21 час назад, Iveus сказал:

Le ecureuil, не стандартный вопрос. Можно ли подключить одного, и того же провайдера, но двумя кабелями по 100 мегабит. Можно ли будет сделать с них MultiWAN, и разбросать клиентов по профилям?

Вопрос только в том, не выдаст ли он вам один и тот же gateway - и это будет печально, поскольку не проектировалось на такое.

Если точно нет, то все можно.

Link to comment
Share on other sites

  • 0
В 01.10.2019 в 21:43, Iveus сказал:

Le ecureuil, не стандартный вопрос. Можно ли подключить одного, и того же провайдера, но двумя кабелями по 100 мегабит. Можно ли будет сделать с них MultiWAN, и разбросать клиентов по профилям?

Вы два аккаунта разных будете брать?

Link to comment
Share on other sites

  • 0
В 09.10.2019 в 23:11, metahor сказал:

Вы два аккаунта разных будете брать?

У меня 2 разных аккаунта (IPoE) и Load Balancing не помешал бы - очень неудобно ждать падения канала (или в ручную переключать "основной/резервный")

Link to comment
Share on other sites

  • 0
20 часов назад, Oleg Nekrylov сказал:

У меня 2 разных аккаунта (IPoE) и Load Balancing не помешал бы - очень неудобно ждать падения канала (или в ручную переключать "основной/резервный")

Имея два канала - ОНИ оба активны (т.е. оба подняты и имеют записи в таблице маршрутизации, оличие их только в том что есть одна запись default маршрут на нужный канал), переключение с одного на другой происходит автоматом -> смена default маршрута на другой канал.

Load Balancing - подразумевает под собой балансировку трафика между каналами А и Б например 50/50, т.е. половина по одному другая по другому. Для сервиса в интернете на которых требуется аутентификация будут проблемы, так как пакет идет с одного IP, а другой уже может с другого IP (два канала два разных IP) -> разрыв соединения, так же сервисы по скачке файлов.

Для торрента данная фишка проблем не создает, так как файл разбивается на куски и если данная часть получалась с ошибкой то будет запрошена повторно.

 

Из всего сказанного и того что вы хотите - переключения с основного на резервный не чего ждать и переключать не надо.

Link to comment
Share on other sites

  • 0
В 19.08.2020 в 10:48, vasek00 сказал:

Load Balancing - подразумевает под собой балансировку трафика между каналами А и Б например 50/50, т.е. половина по одному другая по другому.

Я это и имел в виду.

В 19.08.2020 в 10:48, vasek00 сказал:

Для сервиса в интернете на которых требуется аутентификация будут проблемы, так как пакет идет с одного IP, а другой уже может с другого IP (два канала два разных IP) -> разрыв соединения, так же сервисы по скачке файлов.

Для торрента данная фишка проблем не создает, так как файл разбивается на куски и если данная часть получалась с ошибкой то будет запрошена повторно.

Странно, но на D-Link DFL-860E и Netgear SRX5308 таких проблем не наблюдается (девайсы хорошие, но надо признать - VPN слишком старые, чтобы ими было интересно пользоваться сейчас). Зато когда попытался отсадить Wireguard и IPSec (Site-to-Site) на резервный канал (как менее загруженный), они не захотели работать (на моей стороне Kennetic с "белыми" IP, а клиенты все за NAT - поэтому коннектятся они ко мне, а не я к ним), хотя с наружи, пинги на резервный канал идут, сайты и почта работает (серверы находится в LAN и проброшены порты с основного и резервного каналов, а в DNS используется round-robin), .

Edited by Oleg Nekrylov
Link to comment
Share on other sites

  • 0
20 часов назад, Oleg Nekrylov сказал:

Я это и имел в виду.

Странно, но на D-Link DFL-860E и Netgear SRX5308 таких проблем не наблюдается (девайсы хорошие, но надо признать - VPN слишком старые, чтобы ими было интересно пользоваться сейчас). Зато когда попытался отсадить Wireguard и IPSec (Site-to-Site) на резервный канал (как менее загруженный), они не захотели работать (на моей стороне Kennetic с "белыми" IP, а клиенты все за NAT - поэтому коннектятся они ко мне, а не я к ним), хотя с наружи, пинги на резервный канал идут, сайты и почта работает (серверы находится в LAN и проброшены порты с основного и резервного каналов, а в DNS используется round-robin), .

Не знаю, с 2012 года пробовал эту штуку на разных роутерах, в то время и сейчас использовали сервис "Роутинг и policy-routing в Linux при помощи iproute2" если же делали маркировку пакетов то это уже не Balancing так как определенные адреса шли по своему маршруту. Так же можно создать таблицу маршрутов для IP адресов загоняя нужные адреса на нужный маршрут но опять же вопрос по кол-во серверов.

Серфинг в интернете работает, вопрос устраивает ли он вас в такой форме.

Попробуйте с таких серверов например как Turbobit/Uploaded скачать на вашем D-Link DFL-860E и Netgear SRX5308.

 

Link to comment
Share on other sites

  • 0
В 23.08.2020 в 10:01, vasek00 сказал:

Попробуйте с таких серверов например как Turbobit/Uploaded скачать на вашем D-Link DFL-860E и Netgear SRX5308.

Все нормально качается. Сегодня попробовал тоже самое сделать на работе, на Ubiquiti ER-10X (валялся без дела - были PoE порты пожжены, но пришлось заморочиться и починить) - работает, все качается (специально из-за этого качал сборку от ALM 😁).

Вообще, это стандартная функция у роутеров/межсетевых экранов с несколькими WAN-портами и не понятно почему это не должно, по вашим словам, работать.

Link to comment
Share on other sites

  • 0
11 час назад, Oleg Nekrylov сказал:

Вообще, это стандартная функция у роутеров/межсетевых экранов с несколькими WAN-портами и не понятно почему это не должно, по вашим словам, работать.

Читаем внимательно про что было написано выше про "ip route" если нет то в интернет про принцип работы, так про "ip ro ... nexthop ..."

http://www.tinlib.ru/kompyutery_i_internet/linux_advanced_routing_amp_traffic_control_howto/index.php

http://www.tinlib.ru/kompyutery_i_internet/linux_advanced_routing_amp_traffic_control_howto/p10.php

Скрытый текст

Чтобы маршрутизировать пакеты по метке необходимо создать свою таблицу маршрутизации. Далее надо добавить правило, по которому в эту таблицу будут направляться пакеты на маршрутизацию. Теперь помеченные пакеты будут уходить на маршрутизацию в нужную таблицу. И определить маршруты в данной таблице.

 

Более сложный на микротике https://asp24.ru/mikrotik/pravilnyy-dst-nat-pri-ispolzovanii-2-h-i-bolee-provayderov-na-mikrotik/

 

 

По вашей ссылке имеем в итоге

...
set firewall modify balance rule 10 action modify
set firewall modify balance rule 10 destination group network-group PRIVATE_NETS
set firewall modify balance rule 10 modify table main

set firewall modify balance rule 20 action modify
set firewall modify balance rule 20 destination group address-group ADDRv4_eth0
set firewall modify balance rule 20 modify table main
...

set load-balance group G interface <id> route table 10

set load-balance group G interface eth0 weight 70 
set load-balance group G interface eth1 weight 30

  
show ip route
show ip route table 201
show ip route table 202

Даже тут на форуме есть примеры данного варианта работы с "route table"

 

Я тоже как то что-то пробовал и то же что-то работало

Скрытый текст

При наличие двух каналов ppp0 и ppp1 (основной)

echo 200 User >> /opt/etc/iproute2/rt_tables 
ip rule add from 192.168.130.2 table User
ip route add default via хх1.хх.хх.хх dev ppp0 table User
ip route flush cache
	

ip rule ls

0:      from all lookup local 
32765:  from 192.168.130.2 lookup User 
32766:  from all lookup main 
32767:  from all lookup default 


echo 280 80.out >> /opt/etc/iproute2/rt_tables
echo 243 443.out >> /opt/etc/iproute2/rt_tables
ip rule add fwmark 0x2 table 80.out
ip rule add fwmark 0x4 table 443.out
iptables -I PREROUTING -t mangle -i ppp0 -p tcp --dport 80 -j MARK --set-mark 0x2
iptables -I PREROUTING -t mangle -i ppp0 -p tcp --dport 443 -j MARK --set-mark 0x4

ip route add default via хх1.хх.хх.1 dev ppp0 table 80.out
ip route add default via хх1.хх.хх.1 dev ppp0 table 443.out
ip route flush cache


200 User
280 80.out
243 443.out

/ # ip ro
default dev ppp1  scope link 
...
хх9.ххх.ххх.1 dev ppp0  proto kernel  scope link  src хх9.ххх.ххх.хх8 
...
хх3.ххх.ххх.26 dev ppp1  proto kernel  scope link  src 1хх.ххх.ххх.хх2 
/ # 
iptables -t mangle -nvL
Chain PREROUTING (policy ACCEPT 825 packets, 155K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2980  689K _NDM_PREROUTING_MC  all  --  *      *       0.0.0.0/0            224.0.0.0/4         
14443 3534K _NDM_IPSEC_PREROUTING  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 MARK       tcp  --  ppp1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 MARK set 0x2
    0     0 MARK       tcp  --  ppp1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 MARK set 0x4
....

/ # ip route show table User
default via хх9.ххх.ххх.хх8 dev ppp0 
/ # ip route show table 80.out
default via 1хх.ххх.ххх.хх2 dev ppp1 
/ # ip route show table 443.out
default via 1хх.ххх.ххх.хх2 dev ppp1 
/ # 

 

Так же  https://keenetic-gi.ga/2018/01/16/selective-routing.html     Выборочный роутинг до перечисленных доменов

 

Link to comment
Share on other sites

  • 0

Вот как это изящно сделано у Synology. К сожалению свое видео снять не могу: мой роутер дети залили кока-колой еще весной, но к концу этой недели (надеюсь) приедет новый экземпляр Synology RT2600ac.

Хотелось бы, чтобы и у Keenetic было что-то подобное "из коробки", без использования всяких entware...

Link to comment
Share on other sites

  • 0
43 минуты назад, Oleg Nekrylov сказал:

приедет новый экземпляр Synology RT2600ac

чего-то они потерли инфу о роутерах, есть странички на английском, на русском больше нет. мало их в России. заказывать только если в gig spb за 19999р. + доставка. (в сша 199.99 их валюты) дороговато что-то... или мне кажется и начинка того стоит?

Link to comment
Share on other sites

  • 0
3 часа назад, Oleg Nekrylov сказал:

Вот как это изящно сделано у Synology. К сожалению свое видео снять не могу: мой роутер дети залили кока-колой еще весной, но к концу этой недели (надеюсь) приедет новый экземпляр Synology RT2600ac.

Хотелось бы, чтобы и у Keenetic было что-то подобное "из коробки", без использования всяких entware...

Ну так у кинетика уже давно так без entware, просто выключатель в cli убрали от балансировщика. 

Link to comment
Share on other sites

  • 0
2 часа назад, Goblin сказал:

чего-то они потерли инфу о роутерах, есть странички на английском, на русском больше нет. мало их в России. заказывать только если в gig spb за 19999р. + доставка. (в сша 199.99 их валюты) дороговато что-то... или мне кажется и начинка того стоит?

Из-за того, что границы закрыты (COVID-19), приходится просить родственников (а они уже в возрасте), которые живут в сопредельном государстве, но в принципе, можно заказать самому и здесь. Да, начинка стоит того, правда если у вас есть нужды и потребители, которые смогут ее соответственно нагрузить - иначе смысла нет, тк это не просто роутер, а межсетевой экран в настольном исполнении.

19 минут назад, r13 сказал:

Ну так у кинетика уже давно так без entware, просто выключатель в cli убрали от балансировщика. 

Вот то-то и оно, что имея 2 канала, основной забит "под завязку" и все тормозит, а резервный при этом стоит и прохлаждается, а деньги между прочим, платятся за оба канала.

Edited by Oleg Nekrylov
Link to comment
Share on other sites

  • 0

Фактически, мы имеем вот такую неприглядную картину (цифры пока маленькие, из-за малого аптайма - недавно обновил прошивку, а потом выходные,  а так, за неделю, цифры на main исчисляются терабайтами) :

 768cf760cb6fbd88dd805cb6329fd433.jpeg

Edited by Oleg Nekrylov
Link to comment
Share on other sites

  • 0
6 hours ago, r13 said:

Ну так у кинетика уже давно так без entware, просто выключатель в cli убрали от балансировщика. 

В инструкциях вроде пишут, что это "работает только для torrent-протокола"

Link to comment
Share on other sites

  • 0
6 hours ago, Oleg Nekrylov said:

Вот то-то и оно, что имея 2 канала, основной забит "под завязку" и все тормозит, а резервный при этом стоит и прохлаждается, а деньги между прочим, платятся за оба канала.

Так настройте как нужно - перестанет тормозить. У меня например через один канал пущены все торренты и тор, а через второй - все "человеческие" устройства. В итоге один канал забит под завязку, а на клиентах при этом ничего не тормозит.

Link to comment
Share on other sites

  • 0
44 минуты назад, Alexander Kudrevatykh сказал:

В инструкциях вроде пишут, что это "работает только для torrent-протокола"

нет не только.

ЗЫ просто есть в том числе персональная настройка для встроенного клиента, а так балансировка есть и ее все равно какой протокол.

Скрытый текст

Добавлена возможность одновременного использования WAN-подключений в режиме балансировки (настройка доступна через CLI командой ip policy {name} multipath);

 

Edited by r13
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...