Jump to content
  • 9
Le ecureuil

MultiWAN policy routing в NDMS 2.12+.

Question

84 answers to this question

  • 0
6 минут назад, Trumph сказал:

А IPSec туннели пока вне политики? Или все же?

Чистые IPSec-туннели — это policy-based сущности, они не имеют какого-либо отдельного интерфейса, как другие VPN-соединения.

Share this post


Link to post
Share on other sites
  • 0
1 минуту назад, Александр Рыжов сказал:

Чистые IPSec-туннели — это policy-based сущности, они не имеют какого-либо отдельного интерфейса, как другие VPN-соединения.

Разумеется, но мы же как раз наблюдаем и обсуждаем зарождение функционала, очень напоминающего policy routing. На то и надежды.

Share this post


Link to post
Share on other sites
  • 0

Подключил, настроил через веб-интерфейс, все работает.

Из замеченного:

1. tunnel broker для ipv6 работает только если провайдер для него выбран в Default Policy

2. если в Policy Bindings перетащить хост в "No Internet access" - интернет на нем пропадет, но если потом перетащить в какую-либо ещё группу - не появится обратно, нужно идти в список устройств и там разбанивать его дополнительно.

Share this post


Link to post
Share on other sites
  • 0

Сделал через IPIP туннель. public не обязательно. Достаточно маршрута по умолчанию и ip global > 0 на интерфейсе.

Спасибо за Вашу работу. 

p.s. скоро изобретем циску.

Какая-то ерунда творится. Всё пингуется, но не все сайты открываются.

Сайты пытаюсь открывать с хоста 192.168.100.12, который находится за Ultra 2.

Ниже 2 селф-теста. В инет пытаюсь выйти через Ultra 1, которая на другом конце IPIP туннеля.

Иногда, после изменения ip hotspot host приходится делать этому хосту сначала "deny", а затем "permit".

Edited by dexter

Share this post


Link to post
Share on other sites
  • 0
В 4/7/2018 в 14:04, dexter сказал:

Я правильно понял, что SL public и ip global > 0 должно быть на U2, т.к. хост расположен за ней?

Да.

Share this post


Link to post
Share on other sites
  • 0
В 4/7/2018 в 14:04, dexter сказал:

Т.е. нужен ещё 1 туннель специально для таких целей?

А в будущем не планируется, что-то изменить, что бы и с SL private работало?

Перед тем, как мы будем копировать функционал из Cisco за $10k+, давайте сначала хотя бы базовые сценарии отладим.

Share this post


Link to post
Share on other sites
  • 0
В 4/7/2018 в 20:27, Trumph сказал:

Разумеется, но мы же как раз наблюдаем и обсуждаем зарождение функционала, очень напоминающего policy routing. На то и надежды.

Нужен policy routing для IPsec - используйте IPIP/GRE/EoIP over IPsec туннели.

Share this post


Link to post
Share on other sites
  • 0
21 час назад, Alexander Kudrevatykh сказал:

Подключил, настроил через веб-интерфейс, все работает.

Из замеченного:

1. tunnel broker для ipv6 работает только если провайдер для него выбран в Default Policy

2. если в Policy Bindings перетащить хост в "No Internet access" - интернет на нем пропадет, но если потом перетащить в какую-либо ещё группу - не появится обратно, нужно идти в список устройств и там разбанивать его дополнительно.

По первому пункту можно поподробнее? Где именно у вас настроен tunnel broker, на Keenetic, или на устройстве за ним?

Share this post


Link to post
Share on other sites
  • 0
15 часов назад, dexter сказал:

Сделал через IPIP туннель. public не обязательно. Достаточно маршрута по умолчанию и ip global > 0 на интерфейсе.

Спасибо за Вашу работу. 

p.s. скоро изобретем циску.

Какая-то ерунда творится. Всё пингуется, но не все сайты открываются.

Сайты пытаюсь открывать с хоста 192.168.100.12, который находится за Ultra 2.

Ниже 2 селф-теста. В инет пытаюсь выйти через Ultra 1, которая на другом конце IPIP туннеля.

Иногда, после изменения ip hotspot host приходится делать этому хосту сначала "deny", а затем "permit".

Если все пингуется (в том числе и полноразмерными пакетами с MTU == MTU интерфейса), то проверьте как работает DNS.

DNS пока идет по системной таблице, и может разрешать имена через другие интерфейсы.

Знаем об этой ситуации, работаем над ней, но пока сложно сказать когда точно будет сделано - слишком много завязано на DNS.

Share this post


Link to post
Share on other sites
  • 0
1 час назад, Le ecureuil сказал:

Нужен policy routing для IPsec - используйте IPIP/GRE/EoIP over IPsec туннели.

Zywall поддерживает только 4 туннеля IPIP/GRE, а нужно, например, 20

Share this post


Link to post
Share on other sites
  • 0
1 час назад, Trumph сказал:

Zywall поддерживает только 4 туннеля IPIP/GRE, а нужно, например, 20

При чем тут вообще Zywall? Мы вроде Keenetic обсуждаем.

Share this post


Link to post
Share on other sites
  • 0
16 минут назад, Le ecureuil сказал:

При чем тут вообще Zywall? Мы вроде Keenetic обсуждаем.

Zywall - уже существующий VPN-концентратор на 500 ipsec туннелей, Keenetic (хотелось бы) - удаленный маршрутизатор. В существующей схеме нет возможности применить ipip или gre, потому что на концентраторе их нужно 500. 

Share this post


Link to post
Share on other sites
  • 0

@Le ecureuilпинги идут и на 50000.

Нижу срытым постом я выложу кусок tcpdump с Ultra1 через которую хочу выйти в инет. Пытался открыть speedtest.net.

DNS имена нормально разрешает.

Share this post


Link to post
Share on other sites
  • 0
18 часов назад, dexter сказал:

@Le ecureuilпинги идут и на 50000.

Нижу срытым постом я выложу кусок tcpdump с Ultra1 через которую хочу выйти в инет. Пытался открыть speedtest.net.

DNS имена нормально разрешает.

А почему вы так против SL = public? Именно public включает source NAT, без него у вас в IPIP все полетит с оригинальным адресом и будет ой.

Share this post


Link to post
Share on other sites
  • 0

@Le ecureuilя не против, но.....

Что сделал. На удаленной Ultra изменил SL = public на IPIP интерфейсе. Прописал "ip static IPIP0 ISP", перезагрузил устройство и в снифере на eth2.2 увидел 

19:21:19.425460 IP 192.168.100.12 > ya.ru: ICMP echo request, id 1, seq 314, length 40
19:21:24.423661 IP 192.168.100.12 > ya.ru: ICMP echo request, id 1, seq 315, length 40
19:21:29.435480 IP 192.168.100.12 > ya.ru: ICMP echo request, id 1, seq 316, length 40

После этого на удаленной Ultra изменил SL = private на IPIP интерфейсе, перезагрузил устройство( "ip static IPIP0 ISP" в конфиге было при перезагрузке) и в снифере на eth2.2 увидел

19:25:01.440761 IP 31-129-0-0.static.ip.ххх-ххх.ru > ya.ru: ICMP echo request, id 1, seq 408, length 40
19:25:01.449730 IP ya.ru > 31-129-0-0.static.ip.ххх-ххх.ru: ICMP echo reply, id 1, seq 408, length 40
19:25:02.454910 IP 31-129-0-0.static.ip.ххх-ххх.ru > ya.ru: ICMP echo request, id 1, seq 409, length 40
19:25:02.463746 IP ya.ru > 31-129-0-0.static.ip.ххх-ххх.ru: ICMP echo reply, id 1, seq 409, length 40

Или натить нужно на Ultra 2 за которой у меня хост 192.168.100.12 и с которого я пингую ya.ru?

На Ultra 2 за которой у меня хост 192.168.100.12 у IPIP интерфейса SL = private и нет никакого ната.

Как-то наоборот всё получается или я запутался.

Share this post


Link to post
Share on other sites
  • 0

@Александр Рыжов, прописал на обоих концах туннеля. Спасибо помогло. Теперь все сайты открываются.

Не долго музыка играла, направил в тунель кроме компа ещё и нас с раздачей торентов и все опять только часть сайтов открывается. Убрал политику для нас'а комп нормально стал открывать сайты.

Edited by dexter

Share this post


Link to post
Share on other sites
  • 0

Хм. На роутере включен opkg dns-override и стоит свой DNS-сервер в Entware. Попробовал сейчас создать политику и закинуть в него смарт - у него отвалился DNS, после прописки вручную внешнего DNS-сервера всё заработало... Откуда начинать копать..?

Share this post


Link to post
Share on other sites
  • 0
12 часа назад, KorDen сказал:

Хм. На роутере включен opkg dns-override и стоит свой DNS-сервер в Entware. Попробовал сейчас создать политику и закинуть в него смарт - у него отвалился DNS, после прописки вручную внешнего DNS-сервера всё заработало... Откуда начинать копать..?

Возможно - не однократно упоминал пример что при "opkg dns-override" и использование альтернативного сервиса DNS на роутере, режим основной :

1. - подключение к интернету т.е. DNS от провайдера РОУТЕР получил

2. - если делать на САМОМ роутере ping, трассеры и т.д. на www.wwwww.ru, т.е. выполнить любой локальный сервис

то будет работать ЛОКАЛЬНЫЙ DNS резолв (пакеты улетают на DNS провайдера), а не на тот который настроен выше свой хоть 53 порт весит на другой сервисе, на любом локальном клиенте все как и учили на новый сервис DNS, если убрать получение серверов от провайдера ТО ЗАТЫКАЮТСЯ локальные сервисы роутера.

Так же обратил внимание на такое же поведение при схеме К1(LAN)----(LAN)K2----Инет. Роутер K1 является обычным клиентом К2 как и любой другой клиент К2 но проблема на нем не исчезла описанная выше. На K1 не работает например сервис обновления (для примера, хотя default идет на K2), но если на K1 прописать IP DNS провайдера (который был получен от провайдера на K1) то все ОК.

Клиент----К1(LAN)------(LAN)K2-----Инет

K1
ip route default IP_K2 Home
ip name-server IP_DNS1

K2
получил от провайдера IP_DNS1

Клиенту же по барабану записи которые выше на K1

 

  • Confused 1

Share this post


Link to post
Share on other sites
  • 0
1 час назад, vasek00 сказал:

ЛОКАЛЬНЫЙ DNS резолв

В курсе. Решается прописью в качестве name-server 192.168.1.1. Но каким тут боком это?

1 час назад, vasek00 сказал:

Роутер K1 является обычным клиентом К2 как и любой другой клиент К2 но проблема на нем не исчезла описанная выше

Ничего не понял, что вы хотели всем этим сказать, и как это опять же относится к политикам? Собственно нюанс, что все локальные сервисы продолжают работать с прошивочным резолвером - известен. Что еще-то?

Share this post


Link to post
Share on other sites
  • 0
3 часа назад, KorDen сказал:

В курсе. Решается прописью в качестве name-server 192.168.1.1. Но каким тут боком это?

Ничего не понял, что вы хотели всем этим сказать, и как это опять же относится к политикам? Собственно нюанс, что все локальные сервисы продолжают работать с прошивочным резолвером - известен. Что еще-то?

Не знаю что у вас решалось в качестве "name-server 192.168.1.1"

Клиент1----K1(LAN)----(LAN)K2----Инет

на K2 свой сторонний DNS севрис контроль порта 53, Клиент1 все ОК пакетики идут через новый DNS сервис.

K1 вроде де бы то же является клиентом K2 НО КАК ОКАЗАЛОСЬ НЕ СОВСЕМ КЛИЕНТ его локальные сервисы в данной схеме работают только ПРИ УСТАНОВЛЕННОМ адресе DNS который не 192.168.1.1 (K2) а например после прописки внешнего 88.88.88.88 адрес DNS полученного от провайдера K2 (и такие пакеты идут по default маршруту попадая на K2). При отключении на K2 вообще получение IP DNS от провайдера происходит вообще кирдык для локальных серверов K2.

Значит мы по разному понимаем вашу формулировку и что вы хотели этим сказать

Цитата

KorDen

.... opkg dns-override и стоит свой DNS-сервер в Entware ......Попробовал сейчас создать политику и закинуть в него смарт - у него отвалился DNS, после прописки вручную внешнего DNS-сервера всё заработало .....

 

Share this post


Link to post
Share on other sites
  • 0
В 5/5/2018 в 20:57, KorDen сказал:

Хм. На роутере включен opkg dns-override и стоит свой DNS-сервер в Entware. Попробовал сейчас создать политику и закинуть в него смарт - у него отвалился DNS, после прописки вручную внешнего DNS-сервера всё заработало... Откуда начинать копать..?

На каждую политику запускается своя копия dns proxy. Dns override отключает только системный, а те, что запущены для политик, остаются работать.

Да, правильный ответ - прописать 127.0.0.1 или 192.168.1.1 для них.

  • Thanks 1

Share this post


Link to post
Share on other sites
  • 0
3 часа назад, Le ecureuil сказал:

На каждую политику запускается своя копия dns proxy

А, как я понимаю, каждая копия смотрит на DNS, доступные конкретной политике? Т.е. если политика на IPIP0, то нужны либо глобальные DNS (без "on ISP"), либо "on IPIP0", чтобы работали девайсы в политике?

Edited by KorDen

Share this post


Link to post
Share on other sites
  • 0
2 часа назад, KorDen сказал:

А, как я понимаю, каждая копия смотрит на DNS, доступные конкретной политике? Т.е. если политика на IPIP0, то нужны либо глобальные DNS (без "on ISP"), либо "on IPIP0", чтобы работали девайсы в политике?

Да, все верно.

Share this post


Link to post
Share on other sites
  • 0

Доброго дня. 
у меня тоже есть проблемы с L2TP/Ipsec. Но другого характера. Не знаю Правильно ли я выбрал раздел 
Расскажу с самого начала 
Роутер Keenetic Ultra  с прошивкой 2.12.A.5.0-10
На нем настроено два провайдера Основной и резервный подключены оба по кабелю, соотвественно через порты Wan и 1 порт роутера.
Подключение к обоим провайдерам по ipoe. Переключение между провайдерами работает нормально. 
Делаю VPN соединение через одного из провайдеров (неважно основного или резервного) по L2TP/Ipsec 
Добавляю еще один профиль доступа в интернет где включено только подключение VPN и привязываю к этому профилю устройство которое должно ходить через VPN.
В основном профиле это подключение VPN стоит самым нижним. что бы остальные устройства не пытались ходить через него. 
Настройки провайдеров и VPN сделаны по умолчанию. То есть никаких дополнительных DNS нигде не прописывал.
Вся эта связка Нормально работает где то 5-7 минут, после этого на устройстве которое ходит через VPN пропадает интернет. Само VPN соединение не разрывается. 
После перезагрузки роутера или просто переподключения VPN все опять работает 5-7-10  минут и опять пропадает инет. 
 

Но... Когда в настройках отключаю одного провайдера. Например "резервный канал 1" делаю выкл. Все работает отлично. С двумя подключенными провайдерами работать не хоет ни в какую. 
Подскажите куда копать. Понимаю что, что-то с маршрутизацией происходит но вот как это исправить? 
В системном журнале вроде ошибок никаких нет. 
 

  

Share this post


Link to post
Share on other sites
  • 0
В 5/9/2018 в 14:34, Vitos сказал:

Доброго дня. 
у меня тоже есть проблемы с L2TP/Ipsec. Но другого характера. Не знаю Правильно ли я выбрал раздел 
Расскажу с самого начала 
Роутер Keenetic Ultra  с прошивкой 2.12.A.5.0-10
На нем настроено два провайдера Основной и резервный подключены оба по кабелю, соотвественно через порты Wan и 1 порт роутера.
Подключение к обоим провайдерам по ipoe. Переключение между провайдерами работает нормально. 
Делаю VPN соединение через одного из провайдеров (неважно основного или резервного) по L2TP/Ipsec 
Добавляю еще один профиль доступа в интернет где включено только подключение VPN и привязываю к этому профилю устройство которое должно ходить через VPN.
В основном профиле это подключение VPN стоит самым нижним. что бы остальные устройства не пытались ходить через него. 
Настройки провайдеров и VPN сделаны по умолчанию. То есть никаких дополнительных DNS нигде не прописывал.
Вся эта связка Нормально работает где то 5-7 минут, после этого на устройстве которое ходит через VPN пропадает интернет. Само VPN соединение не разрывается. 
После перезагрузки роутера или просто переподключения VPN все опять работает 5-7-10  минут и опять пропадает инет. 
 

Но... Когда в настройках отключаю одного провайдера. Например "резервный канал 1" делаю выкл. Все работает отлично. С двумя подключенными провайдерами работать не хоет ни в какую. 
Подскажите куда копать. Понимаю что, что-то с маршрутизацией происходит но вот как это исправить? 
В системном журнале вроде ошибок никаких нет. 
 

  

Проверьте, не вот эти ли проблемы у вас:

 

Share this post


Link to post
Share on other sites
  • 0
54 минуты назад, Le ecureuil сказал:

Проверьте, не вот эти ли проблемы у вас:

 

Как понял из прочитанного, мне нужно жестко прописать DNS в каждом профиле подключения на локальный (192.168.1.1) ?
Кроме основного провайдера. Так?

Share this post


Link to post
Share on other sites
  • 0
1 час назад, Vitos сказал:

Как понял из прочитанного, мне нужно жестко прописать DNS в каждом профиле подключения на локальный (192.168.1.1) ?
Кроме основного провайдера. Так?

Нет, вам нужно проверить, приходят ли у нас по VPN-туннелю DNS-серверы, и если нет, прописать их руками через ip name-server для этого интерфейса. Какие именно выбрать - решать вам.

Share this post


Link to post
Share on other sites
  • 0
3 часа назад, Le ecureuil сказал:

Нет, вам нужно проверить, приходят ли у нас по VPN-туннелю DNS-серверы, и если нет, прописать их руками через ip name-server для этого интерфейса. Какие именно выбрать - решать вам.

Подскажете как это сделать ? 
в свойствах всех трех соединений есть dns серверы, и все разные. Как понимаю в каждом соединиии к првайдеру прописаны dns провайдера. Полученные автоматом. Сам ничего не прописывал. 
в VPN соединении автоматом прописываются два dns (8.8.8.8 и 8.8.4.4) 
или это не то, о чем вы говорите ?

 

 

Share this post


Link to post
Share on other sites
  • 0

Доброго дня! Подскажите, "для домохозяйки", возможно ли использовать на обсуждаемой (или любой иной) прошивке вариант с 2 активными извне WAN (оба статические IP), а изнутри выходить через 1 канал, переключаясь на второй только при недоступности первого? Прошу прощения, но из обсуждения понимаю лишь каждое третье слово, а держать перед кинетиком TL-R480T+ крайне неудобно. Заранее благодарю.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

  • Recently Browsing   0 members

    No registered users viewing this page.

×