Jump to content
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
  • 14
Le ecureuil

MultiWAN policy routing в NDMS 2.12+.

Asked by Le ecureuil

Question

148 answers to this question

Recommended Posts

  • 0
r13

r13

Posted
12/25/2018 07:22 AM

@Le ecureuil Как public интерфейсы без ip global работают совместно с policy routing? Или они работают только в основном профиле?

Share this post

Link to post
Share on other sites
  • 0
Le ecureuil

Le ecureuil

Posted
01/10/2019 09:48 AM
В 22.12.2018 в 02:58, r13 сказал:

@Le ecureuil а вот эта тема, с возможностью использовать политики для vpn соединений вместо «подключаться через» жива или загнулась? разработка ведется?

 

Разработка ведется, но пока сложно спрогнозировать завершение.

Share this post

Link to post
Share on other sites
  • 0
Alexander Eerie

Alexander Eerie

Posted
01/11/2019 05:43 PM
В 10.12.2018 в 14:44, Trumph сказал:

ну зачем же так категорично

https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN

 

это тунель внутри айписека... всеже айписек не роутится)

Share this post

Link to post
Share on other sites
  • 0
Le ecureuil

Le ecureuil

Posted
01/14/2019 08:22 AM
В 11.01.2019 в 20:43, Alexander Eerie сказал:

это тунель внутри айписека... всеже айписек не роутится)

Там рекомендуется делать хитро - селекторы 0.0.0.0/0 в оба конца + маркировка, и маркировать нужный нам трафик.

Хотя да, это не похоже на проприетарные костыли от других вендоров.

Share this post

Link to post
Share on other sites
  • 0
r13

r13

Posted
04/23/2019 07:57 AM
В 22.12.2018 в 02:58, r13 сказал:

@Le ecureuil а вот эта тема, с возможностью использовать политики для vpn соединений вместо «подключаться через» жива или загнулась? разработка ведется?

 

@Le ecureuil добрый день, подвижек в этом направлении нет?

ЗЫ может отдельную тему в развитии завести?

Share this post

Link to post
Share on other sites
  • 0
Le ecureuil

Le ecureuil

Posted
04/23/2019 09:39 AM
1 час назад, r13 сказал:

@Le ecureuil добрый день, подвижек в этом направлении нет?

ЗЫ может отдельную тему в развитии завести?

Можно конечно.

Пока чуть другим заняты.

Share this post

Link to post
Share on other sites
  • 0
Aleksey Evsyukov

Aleksey Evsyukov

Posted
09/25/2019 05:58 AM

Добрый день.

Подскажите, в чем может быть проблема.

Маршрутизатор Omni (KN-1410), версия ОС 3.1

Интернет от двух провайдеров, PPPoE со статикой и PPPoE без статики. Была включена балансировка и все прекрасно работало.

У провайдера без статики подключили услугу статический IP, и тип подключения сменился с PPPoE без статики на IPN без авторизации. В такой конфигурации балансировка работает некорректно. Изнутри сети все работает. А вот извне случайные хосты не видят внешние IP ни первого ни второго провайдера.

 

Share this post

Link to post
Share on other sites
  • 0
Le ecureuil

Le ecureuil

Posted
09/27/2019 03:18 PM
В 25.09.2019 в 08:58, Aleksey Evsyukov сказал:

Добрый день.

Подскажите, в чем может быть проблема.

Маршрутизатор Omni (KN-1410), версия ОС 3.1

Интернет от двух провайдеров, PPPoE со статикой и PPPoE без статики. Была включена балансировка и все прекрасно работало.

У провайдера без статики подключили услугу статический IP, и тип подключения сменился с PPPoE без статики на IPN без авторизации. В такой конфигурации балансировка работает некорректно. Изнутри сети все работает. А вот извне случайные хосты не видят внешние IP ни первого ни второго провайдера.

 

Вам в техподдержку.

Share this post

Link to post
Share on other sites
  • 0
Iveus

Iveus

Posted
10/01/2019 09:43 PM

Le ecureuil, не стандартный вопрос. Можно ли подключить одного, и того же провайдера, но двумя кабелями по 100 мегабит. Можно ли будет сделать с них MultiWAN, и разбросать клиентов по профилям?

Share this post

Link to post
Share on other sites
  • 0
Le ecureuil

Le ecureuil

Posted
10/02/2019 07:12 PM
21 час назад, Iveus сказал:

Le ecureuil, не стандартный вопрос. Можно ли подключить одного, и того же провайдера, но двумя кабелями по 100 мегабит. Можно ли будет сделать с них MultiWAN, и разбросать клиентов по профилям?

Вопрос только в том, не выдаст ли он вам один и тот же gateway - и это будет печально, поскольку не проектировалось на такое.

Если точно нет, то все можно.

Share this post

Link to post
Share on other sites
  • 0
metahor

metahor

Posted
10/09/2019 08:11 PM
В 01.10.2019 в 21:43, Iveus сказал:

Le ecureuil, не стандартный вопрос. Можно ли подключить одного, и того же провайдера, но двумя кабелями по 100 мегабит. Можно ли будет сделать с них MultiWAN, и разбросать клиентов по профилям?

Вы два аккаунта разных будете брать?

Share this post

Link to post
Share on other sites
  • 0
Oleg Nekrylov

Oleg Nekrylov

Posted
08/18/2020 11:02 AM
В 09.10.2019 в 23:11, metahor сказал:

Вы два аккаунта разных будете брать?

У меня 2 разных аккаунта (IPoE) и Load Balancing не помешал бы - очень неудобно ждать падения канала (или в ручную переключать "основной/резервный")

Share this post

Link to post
Share on other sites
  • 0
vasek00

vasek00

Posted
08/19/2020 07:48 AM
20 часов назад, Oleg Nekrylov сказал:

У меня 2 разных аккаунта (IPoE) и Load Balancing не помешал бы - очень неудобно ждать падения канала (или в ручную переключать "основной/резервный")

Имея два канала - ОНИ оба активны (т.е. оба подняты и имеют записи в таблице маршрутизации, оличие их только в том что есть одна запись default маршрут на нужный канал), переключение с одного на другой происходит автоматом -> смена default маршрута на другой канал.

Load Balancing - подразумевает под собой балансировку трафика между каналами А и Б например 50/50, т.е. половина по одному другая по другому. Для сервиса в интернете на которых требуется аутентификация будут проблемы, так как пакет идет с одного IP, а другой уже может с другого IP (два канала два разных IP) -> разрыв соединения, так же сервисы по скачке файлов.

Для торрента данная фишка проблем не создает, так как файл разбивается на куски и если данная часть получалась с ошибкой то будет запрошена повторно.

 

Из всего сказанного и того что вы хотите - переключения с основного на резервный не чего ждать и переключать не надо.

Share this post

Link to post
Share on other sites
  • 0
Oleg Nekrylov

Oleg Nekrylov

Posted
08/22/2020 10:20 AM (edited)
В 19.08.2020 в 10:48, vasek00 сказал:

Load Balancing - подразумевает под собой балансировку трафика между каналами А и Б например 50/50, т.е. половина по одному другая по другому.

Я это и имел в виду.

В 19.08.2020 в 10:48, vasek00 сказал:

Для сервиса в интернете на которых требуется аутентификация будут проблемы, так как пакет идет с одного IP, а другой уже может с другого IP (два канала два разных IP) -> разрыв соединения, так же сервисы по скачке файлов.

Для торрента данная фишка проблем не создает, так как файл разбивается на куски и если данная часть получалась с ошибкой то будет запрошена повторно.

Странно, но на D-Link DFL-860E и Netgear SRX5308 таких проблем не наблюдается (девайсы хорошие, но надо признать - VPN слишком старые, чтобы ими было интересно пользоваться сейчас). Зато когда попытался отсадить Wireguard и IPSec (Site-to-Site) на резервный канал (как менее загруженный), они не захотели работать (на моей стороне Kennetic с "белыми" IP, а клиенты все за NAT - поэтому коннектятся они ко мне, а не я к ним), хотя с наружи, пинги на резервный канал идут, сайты и почта работает (серверы находится в LAN и проброшены порты с основного и резервного каналов, а в DNS используется round-robin), .

Edited by Oleg Nekrylov

Share this post

Link to post
Share on other sites
  • 0
vasek00

vasek00

Posted
08/23/2020 07:01 AM
20 часов назад, Oleg Nekrylov сказал:

Я это и имел в виду.

Странно, но на D-Link DFL-860E и Netgear SRX5308 таких проблем не наблюдается (девайсы хорошие, но надо признать - VPN слишком старые, чтобы ими было интересно пользоваться сейчас). Зато когда попытался отсадить Wireguard и IPSec (Site-to-Site) на резервный канал (как менее загруженный), они не захотели работать (на моей стороне Kennetic с "белыми" IP, а клиенты все за NAT - поэтому коннектятся они ко мне, а не я к ним), хотя с наружи, пинги на резервный канал идут, сайты и почта работает (серверы находится в LAN и проброшены порты с основного и резервного каналов, а в DNS используется round-robin), .

Не знаю, с 2012 года пробовал эту штуку на разных роутерах, в то время и сейчас использовали сервис "Роутинг и policy-routing в Linux при помощи iproute2" если же делали маркировку пакетов то это уже не Balancing так как определенные адреса шли по своему маршруту. Так же можно создать таблицу маршрутов для IP адресов загоняя нужные адреса на нужный маршрут но опять же вопрос по кол-во серверов.

Серфинг в интернете работает, вопрос устраивает ли он вас в такой форме.

Попробуйте с таких серверов например как Turbobit/Uploaded скачать на вашем D-Link DFL-860E и Netgear SRX5308.

 

Share this post

Link to post
Share on other sites
  • 0
Oleg Nekrylov

Oleg Nekrylov

Posted
08/24/2020 05:19 PM
В 23.08.2020 в 10:01, vasek00 сказал:

Попробуйте с таких серверов например как Turbobit/Uploaded скачать на вашем D-Link DFL-860E и Netgear SRX5308.

Все нормально качается. Сегодня попробовал тоже самое сделать на работе, на Ubiquiti ER-10X (валялся без дела - были PoE порты пожжены, но пришлось заморочиться и починить) - работает, все качается (специально из-за этого качал сборку от ALM 😁).

Вообще, это стандартная функция у роутеров/межсетевых экранов с несколькими WAN-портами и не понятно почему это не должно, по вашим словам, работать.

Share this post

Link to post
Share on other sites
  • 0
vasek00

vasek00

Posted
08/25/2020 06:01 AM
11 час назад, Oleg Nekrylov сказал:

Вообще, это стандартная функция у роутеров/межсетевых экранов с несколькими WAN-портами и не понятно почему это не должно, по вашим словам, работать.

Читаем внимательно про что было написано выше про "ip route" если нет то в интернет про принцип работы, так про "ip ro ... nexthop ..."

http://www.tinlib.ru/kompyutery_i_internet/linux_advanced_routing_amp_traffic_control_howto/index.php

http://www.tinlib.ru/kompyutery_i_internet/linux_advanced_routing_amp_traffic_control_howto/p10.php

Скрытый текст

Чтобы маршрутизировать пакеты по метке необходимо создать свою таблицу маршрутизации. Далее надо добавить правило, по которому в эту таблицу будут направляться пакеты на маршрутизацию. Теперь помеченные пакеты будут уходить на маршрутизацию в нужную таблицу. И определить маршруты в данной таблице.

 

Более сложный на микротике https://asp24.ru/mikrotik/pravilnyy-dst-nat-pri-ispolzovanii-2-h-i-bolee-provayderov-na-mikrotik/

 

 

По вашей ссылке имеем в итоге 

...
set firewall modify balance rule 10 action modify
set firewall modify balance rule 10 destination group network-group PRIVATE_NETS
set firewall modify balance rule 10 modify table main

set firewall modify balance rule 20 action modify
set firewall modify balance rule 20 destination group address-group ADDRv4_eth0
set firewall modify balance rule 20 modify table main
...

set load-balance group G interface <id> route table 10

set load-balance group G interface eth0 weight 70 
set load-balance group G interface eth1 weight 30

  
show ip route
show ip route table 201
show ip route table 202

Даже тут на форуме есть примеры данного варианта работы с "route table"

 

Я тоже как то что-то пробовал и то же что-то работало

Скрытый текст 

При наличие двух каналов ppp0 и ppp1 (основной)

echo 200 User >> /opt/etc/iproute2/rt_tables 
ip rule add from 192.168.130.2 table User
ip route add default via хх1.хх.хх.хх dev ppp0 table User
ip route flush cache
	

ip rule ls

0:      from all lookup local 
32765:  from 192.168.130.2 lookup User 
32766:  from all lookup main 
32767:  from all lookup default 


echo 280 80.out >> /opt/etc/iproute2/rt_tables
echo 243 443.out >> /opt/etc/iproute2/rt_tables
ip rule add fwmark 0x2 table 80.out
ip rule add fwmark 0x4 table 443.out
iptables -I PREROUTING -t mangle -i ppp0 -p tcp --dport 80 -j MARK --set-mark 0x2
iptables -I PREROUTING -t mangle -i ppp0 -p tcp --dport 443 -j MARK --set-mark 0x4

ip route add default via хх1.хх.хх.1 dev ppp0 table 80.out
ip route add default via хх1.хх.хх.1 dev ppp0 table 443.out
ip route flush cache


200 User
280 80.out
243 443.out

/ # ip ro
default dev ppp1  scope link 
...
хх9.ххх.ххх.1 dev ppp0  proto kernel  scope link  src хх9.ххх.ххх.хх8 
...
хх3.ххх.ххх.26 dev ppp1  proto kernel  scope link  src 1хх.ххх.ххх.хх2 
/ # 
iptables -t mangle -nvL
Chain PREROUTING (policy ACCEPT 825 packets, 155K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2980  689K _NDM_PREROUTING_MC  all  --  *      *       0.0.0.0/0            224.0.0.0/4         
14443 3534K _NDM_IPSEC_PREROUTING  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 MARK       tcp  --  ppp1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 MARK set 0x2
    0     0 MARK       tcp  --  ppp1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 MARK set 0x4
....

/ # ip route show table User
default via хх9.ххх.ххх.хх8 dev ppp0 
/ # ip route show table 80.out
default via 1хх.ххх.ххх.хх2 dev ppp1 
/ # ip route show table 443.out
default via 1хх.ххх.ххх.хх2 dev ppp1 
/ #

 

Так же  https://keenetic-gi.ga/2018/01/16/selective-routing.html     Выборочный роутинг до перечисленных доменов

 

Share this post

Link to post
Share on other sites
  • 0
Oleg Nekrylov

Oleg Nekrylov

Posted
09/20/2020 06:54 AM

Вот как это изящно сделано у Synology. К сожалению свое видео снять не могу: мой роутер дети залили кока-колой еще весной, но к концу этой недели (надеюсь) приедет новый экземпляр Synology RT2600ac.

Хотелось бы, чтобы и у Keenetic было что-то подобное "из коробки", без использования всяких entware...

Share this post

Link to post
Share on other sites
  • 0
Goblin

Goblin

Posted
09/20/2020 07:57 AM
43 минуты назад, Oleg Nekrylov сказал:

приедет новый экземпляр Synology RT2600ac

чего-то они потерли инфу о роутерах, есть странички на английском, на русском больше нет. мало их в России. заказывать только если в gig spb за 19999р. + доставка. (в сша 199.99 их валюты) дороговато что-то... или мне кажется и начинка того стоит?

Share this post

Link to post
Share on other sites
  • 0
r13

r13

Posted
09/20/2020 10:02 AM
3 часа назад, Oleg Nekrylov сказал:

Вот как это изящно сделано у Synology. К сожалению свое видео снять не могу: мой роутер дети залили кока-колой еще весной, но к концу этой недели (надеюсь) приедет новый экземпляр Synology RT2600ac.

Хотелось бы, чтобы и у Keenetic было что-то подобное "из коробки", без использования всяких entware...

Ну так у кинетика уже давно так без entware, просто выключатель в cli убрали от балансировщика. 

Share this post

Link to post
Share on other sites
  • 0
Oleg Nekrylov

Oleg Nekrylov

Posted
09/20/2020 10:18 AM (edited)
2 часа назад, Goblin сказал:

чего-то они потерли инфу о роутерах, есть странички на английском, на русском больше нет. мало их в России. заказывать только если в gig spb за 19999р. + доставка. (в сша 199.99 их валюты) дороговато что-то... или мне кажется и начинка того стоит?

Из-за того, что границы закрыты (COVID-19), приходится просить родственников (а они уже в возрасте), которые живут в сопредельном государстве, но в принципе, можно заказать самому и здесь. Да, начинка стоит того, правда если у вас есть нужды и потребители, которые смогут ее соответственно нагрузить - иначе смысла нет, тк это не просто роутер, а межсетевой экран в настольном исполнении.

19 минут назад, r13 сказал:

Ну так у кинетика уже давно так без entware, просто выключатель в cli убрали от балансировщика. 

Вот то-то и оно, что имея 2 канала, основной забит "под завязку" и все тормозит, а резервный при этом стоит и прохлаждается, а деньги между прочим, платятся за оба канала.

Edited by Oleg Nekrylov

Share this post

Link to post
Share on other sites
  • 0
Oleg Nekrylov

Oleg Nekrylov

Posted
09/20/2020 10:46 AM (edited)

Фактически, мы имеем вот такую неприглядную картину (цифры пока маленькие, из-за малого аптайма - недавно обновил прошивку, а потом выходные,  а так, за неделю, цифры на main исчисляются терабайтами) :

 768cf760cb6fbd88dd805cb6329fd433.jpeg

Edited by Oleg Nekrylov

Share this post

Link to post
Share on other sites
  • 0
Alexander Kudrevatykh

Alexander Kudrevatykh

Posted
09/20/2020 04:57 PM
6 hours ago, r13 said:

Ну так у кинетика уже давно так без entware, просто выключатель в cli убрали от балансировщика. 

В инструкциях вроде пишут, что это "работает только для torrent-протокола"

Share this post

Link to post
Share on other sites
  • 0
Alexander Kudrevatykh

Alexander Kudrevatykh

Posted
09/20/2020 05:01 PM
6 hours ago, Oleg Nekrylov said:

Вот то-то и оно, что имея 2 канала, основной забит "под завязку" и все тормозит, а резервный при этом стоит и прохлаждается, а деньги между прочим, платятся за оба канала.

Так настройте как нужно - перестанет тормозить. У меня например через один канал пущены все торренты и тор, а через второй - все "человеческие" устройства. В итоге один канал забит под завязку, а на клиентах при этом ничего не тормозит.

Share this post

Link to post
Share on other sites
  • 0
r13

r13

Posted
09/20/2020 05:39 PM (edited)
44 минуты назад, Alexander Kudrevatykh сказал:

В инструкциях вроде пишут, что это "работает только для torrent-протокола"

нет не только.

ЗЫ просто есть в том числе персональная настройка для встроенного клиента, а так балансировка есть и ее все равно какой протокол.

Скрытый текст

Добавлена возможность одновременного использования WAN-подключений в режиме балансировки (настройка доступна через CLI командой ip policy {name} multipath);

 

Edited by r13

Share this post

Link to post
Share on other sites
  • 0
Oleg Nekrylov

Oleg Nekrylov

Posted
09/20/2020 06:34 PM
44 минуты назад, r13 сказал:

(настройка доступна через CLI командой ip policy {name} multipath);

Может когда-то это и работало, но по факту, начиная с 3.3 (а у меня 3.5 beta 4) - не работает, так же как и OpenVPN TAP (ходит только ICMP), так же как и IKEv2 (коннект есть, а трафик не ходит - никакой).

А что касается балансировки, то мне нужна именно балансировка, а не ручное рассаживание устройств по каналам - у меня большая часть трафика генерируется iSCSI (Hyper-V, ESX) с SAN/NAS

Share this post

Link to post
Share on other sites
  • 0
Oleg Nekrylov

Oleg Nekrylov

Posted
09/21/2020 05:25 PM (edited)
В 20.09.2020 в 19:57, Alexander Kudrevatykh сказал:

В инструкциях вроде пишут, что это "работает только для torrent-протокола"

Сегодня специально проверил - только для torrent (запустил Download Station на Synology DS2419+), для MPIO iSCSI фокус не проходит (Windows 2016/2019, Debian, Synology NAS, Dell/IBM SAN). А на D-Link DFL-860e/1500, Netgear SRX5308/UTM150 - MPIO iSCSI работает, к сожалению на Ubiquiti ER-10X проверить не смог, девайс окончательно сдох.

Edited by Oleg Nekrylov
буквы не дописал

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to question listing

  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...