MultiWAN policy routing в NDMS 2.12+.

[Le ecureuil 4,731]

Здесь идет все обсуждение MultiWAN в NDMS.

[r13 1,254]

@Le ecureuil Как public интерфейсы без ip global работают совместно с policy routing? Или они работают только в основном профиле?

[Le ecureuil 4,731]

В 22.12.2018 в 02:58, r13 сказал:

@Le ecureuil а вот эта тема, с возможностью использовать политики для vpn соединений вместо «подключаться через» жива или загнулась? разработка ведется?

 

Разработка ведется, но пока сложно спрогнозировать завершение.

[Le ecureuil 4,731]

В 25.12.2018 в 10:22, r13 сказал:

@Le ecureuil Как public интерфейсы без ip global работают совместно с policy routing? Или они работают только в основном профиле?

Только в основном.

[Alexander Eerie 4]

В 10.12.2018 в 14:44, Trumph сказал:

ну зачем же так категорично

https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN

 

это тунель внутри айписека... всеже айписек не роутится)

[Le ecureuil 4,731]

В 11.01.2019 в 20:43, Alexander Eerie сказал:

это тунель внутри айписека... всеже айписек не роутится)

Там рекомендуется делать хитро - селекторы 0.0.0.0/0 в оба конца + маркировка, и маркировать нужный нам трафик.

Хотя да, это не похоже на проприетарные костыли от других вендоров.

[r13 1,254]

В 22.12.2018 в 02:58, r13 сказал:

@Le ecureuil а вот эта тема, с возможностью использовать политики для vpn соединений вместо «подключаться через» жива или загнулась? разработка ведется?

 

@Le ecureuil добрый день, подвижек в этом направлении нет?

ЗЫ может отдельную тему в развитии завести?

[Le ecureuil 4,731]

1 час назад, r13 сказал:

@Le ecureuil добрый день, подвижек в этом направлении нет?

ЗЫ может отдельную тему в развитии завести?

Можно конечно.

Пока чуть другим заняты.

[Aleksey Evsyukov 0]

Добрый день.

Подскажите, в чем может быть проблема.

Маршрутизатор Omni (KN-1410), версия ОС 3.1

Интернет от двух провайдеров, PPPoE со статикой и PPPoE без статики. Была включена балансировка и все прекрасно работало.

У провайдера без статики подключили услугу статический IP, и тип подключения сменился с PPPoE без статики на IPN без авторизации. В такой конфигурации балансировка работает некорректно. Изнутри сети все работает. А вот извне случайные хосты не видят внешние IP ни первого ни второго провайдера.

 

[Le ecureuil 4,731]

В 25.09.2019 в 08:58, Aleksey Evsyukov сказал:

Добрый день.

Подскажите, в чем может быть проблема.

Маршрутизатор Omni (KN-1410), версия ОС 3.1

Интернет от двух провайдеров, PPPoE со статикой и PPPoE без статики. Была включена балансировка и все прекрасно работало.

У провайдера без статики подключили услугу статический IP, и тип подключения сменился с PPPoE без статики на IPN без авторизации. В такой конфигурации балансировка работает некорректно. Изнутри сети все работает. А вот извне случайные хосты не видят внешние IP ни первого ни второго провайдера.

 

Вам в техподдержку.

[Iveus 0]

Le ecureuil, не стандартный вопрос. Можно ли подключить одного, и того же провайдера, но двумя кабелями по 100 мегабит. Можно ли будет сделать с них MultiWAN, и разбросать клиентов по профилям?

[Le ecureuil 4,731]

21 час назад, Iveus сказал:

Le ecureuil, не стандартный вопрос. Можно ли подключить одного, и того же провайдера, но двумя кабелями по 100 мегабит. Можно ли будет сделать с них MultiWAN, и разбросать клиентов по профилям?

Вопрос только в том, не выдаст ли он вам один и тот же gateway - и это будет печально, поскольку не проектировалось на такое.

Если точно нет, то все можно.

[Aleksey Evsyukov 0]

On 9/27/2019 at 8:18 PM, Le ecureuil said:

Вам в техподдержку.

Вы имеете в виду техподдержку провайдера?

Edited October 3, 2019 by Aleksey Evsyukov

[Le ecureuil 4,731]

В 03.10.2019 в 11:46, Aleksey Evsyukov сказал:

Вы имеете в виду техподдержку провайдера?

Нет, оборудования.

[metahor 30]

В 01.10.2019 в 21:43, Iveus сказал:

Le ecureuil, не стандартный вопрос. Можно ли подключить одного, и того же провайдера, но двумя кабелями по 100 мегабит. Можно ли будет сделать с них MultiWAN, и разбросать клиентов по профилям?

Вы два аккаунта разных будете брать?

[Oleg Nekrylov 8]

В 09.10.2019 в 23:11, metahor сказал:

Вы два аккаунта разных будете брать?

У меня 2 разных аккаунта (IPoE) и Load Balancing не помешал бы - очень неудобно ждать падения канала (или в ручную переключать "основной/резервный")

[vasek00 506]

20 часов назад, Oleg Nekrylov сказал:

У меня 2 разных аккаунта (IPoE) и Load Balancing не помешал бы - очень неудобно ждать падения канала (или в ручную переключать "основной/резервный")

Имея два канала - ОНИ оба активны (т.е. оба подняты и имеют записи в таблице маршрутизации, оличие их только в том что есть одна запись default маршрут на нужный канал), переключение с одного на другой происходит автоматом -> смена default маршрута на другой канал.

Load Balancing - подразумевает под собой балансировку трафика между каналами А и Б например 50/50, т.е. половина по одному другая по другому. Для сервиса в интернете на которых требуется аутентификация будут проблемы, так как пакет идет с одного IP, а другой уже может с другого IP (два канала два разных IP) -> разрыв соединения, так же сервисы по скачке файлов.

Для торрента данная фишка проблем не создает, так как файл разбивается на куски и если данная часть получалась с ошибкой то будет запрошена повторно.

 

Из всего сказанного и того что вы хотите - переключения с основного на резервный не чего ждать и переключать не надо.

[Oleg Nekrylov 8]

В 19.08.2020 в 10:48, vasek00 сказал:

Load Balancing - подразумевает под собой балансировку трафика между каналами А и Б например 50/50, т.е. половина по одному другая по другому.

Я это и имел в виду.

В 19.08.2020 в 10:48, vasek00 сказал:

Для сервиса в интернете на которых требуется аутентификация будут проблемы, так как пакет идет с одного IP, а другой уже может с другого IP (два канала два разных IP) -> разрыв соединения, так же сервисы по скачке файлов.

Для торрента данная фишка проблем не создает, так как файл разбивается на куски и если данная часть получалась с ошибкой то будет запрошена повторно.

Странно, но на D-Link DFL-860E и Netgear SRX5308 таких проблем не наблюдается (девайсы хорошие, но надо признать - VPN слишком старые, чтобы ими было интересно пользоваться сейчас). Зато когда попытался отсадить Wireguard и IPSec (Site-to-Site) на резервный канал (как менее загруженный), они не захотели работать (на моей стороне Kennetic с "белыми" IP, а клиенты все за NAT - поэтому коннектятся они ко мне, а не я к ним), хотя с наружи, пинги на резервный канал идут, сайты и почта работает (серверы находится в LAN и проброшены порты с основного и резервного каналов, а в DNS используется round-robin), .

Edited August 22, 2020 by Oleg Nekrylov

[vasek00 506]

20 часов назад, Oleg Nekrylov сказал:

Я это и имел в виду.

Странно, но на D-Link DFL-860E и Netgear SRX5308 таких проблем не наблюдается (девайсы хорошие, но надо признать - VPN слишком старые, чтобы ими было интересно пользоваться сейчас). Зато когда попытался отсадить Wireguard и IPSec (Site-to-Site) на резервный канал (как менее загруженный), они не захотели работать (на моей стороне Kennetic с "белыми" IP, а клиенты все за NAT - поэтому коннектятся они ко мне, а не я к ним), хотя с наружи, пинги на резервный канал идут, сайты и почта работает (серверы находится в LAN и проброшены порты с основного и резервного каналов, а в DNS используется round-robin), .

Не знаю, с 2012 года пробовал эту штуку на разных роутерах, в то время и сейчас использовали сервис "Роутинг и policy-routing в Linux при помощи iproute2" если же делали маркировку пакетов то это уже не Balancing так как определенные адреса шли по своему маршруту. Так же можно создать таблицу маршрутов для IP адресов загоняя нужные адреса на нужный маршрут но опять же вопрос по кол-во серверов.

Серфинг в интернете работает, вопрос устраивает ли он вас в такой форме.

Попробуйте с таких серверов например как Turbobit/Uploaded скачать на вашем D-Link DFL-860E и Netgear SRX5308.

 

[Oleg Nekrylov 8]

В 23.08.2020 в 10:01, vasek00 сказал:

Попробуйте с таких серверов например как Turbobit/Uploaded скачать на вашем D-Link DFL-860E и Netgear SRX5308.

Все нормально качается. Сегодня попробовал тоже самое сделать на работе, на Ubiquiti ER-10X (валялся без дела - были PoE порты пожжены, но пришлось заморочиться и починить) - работает, все качается (специально из-за этого качал сборку от ALM 😁).

Вообще, это стандартная функция у роутеров/межсетевых экранов с несколькими WAN-портами и не понятно почему это не должно, по вашим словам, работать.

[vasek00 506]

11 час назад, Oleg Nekrylov сказал:

Вообще, это стандартная функция у роутеров/межсетевых экранов с несколькими WAN-портами и не понятно почему это не должно, по вашим словам, работать.

Читаем внимательно про что было написано выше про "ip route" если нет то в интернет про принцип работы, так про "ip ro ... nexthop ..."

http://www.tinlib.ru/kompyutery_i_internet/linux_advanced_routing_amp_traffic_control_howto/index.php

http://www.tinlib.ru/kompyutery_i_internet/linux_advanced_routing_amp_traffic_control_howto/p10.php

Скрытый текст

Чтобы маршрутизировать пакеты по метке необходимо создать свою таблицу маршрутизации. Далее надо добавить правило, по которому в эту таблицу будут направляться пакеты на маршрутизацию. Теперь помеченные пакеты будут уходить на маршрутизацию в нужную таблицу. И определить маршруты в данной таблице.

 

Более сложный на микротике https://asp24.ru/mikrotik/pravilnyy-dst-nat-pri-ispolzovanii-2-h-i-bolee-provayderov-na-mikrotik/

 

 

По вашей ссылке имеем в итоге

...
set firewall modify balance rule 10 action modify
set firewall modify balance rule 10 destination group network-group PRIVATE_NETS
set firewall modify balance rule 10 modify table main

set firewall modify balance rule 20 action modify
set firewall modify balance rule 20 destination group address-group ADDRv4_eth0
set firewall modify balance rule 20 modify table main
...

set load-balance group G interface <id> route table 10

set load-balance group G interface eth0 weight 70 
set load-balance group G interface eth1 weight 30

  
show ip route
show ip route table 201
show ip route table 202

Даже тут на форуме есть примеры данного варианта работы с "route table"

 

Я тоже как то что-то пробовал и то же что-то работало

Скрытый текст

При наличие двух каналов ppp0 и ppp1 (основной)

echo 200 User >> /opt/etc/iproute2/rt_tables 
ip rule add from 192.168.130.2 table User
ip route add default via хх1.хх.хх.хх dev ppp0 table User
ip route flush cache
	

ip rule ls

0:      from all lookup local 
32765:  from 192.168.130.2 lookup User 
32766:  from all lookup main 
32767:  from all lookup default 


echo 280 80.out >> /opt/etc/iproute2/rt_tables
echo 243 443.out >> /opt/etc/iproute2/rt_tables
ip rule add fwmark 0x2 table 80.out
ip rule add fwmark 0x4 table 443.out
iptables -I PREROUTING -t mangle -i ppp0 -p tcp --dport 80 -j MARK --set-mark 0x2
iptables -I PREROUTING -t mangle -i ppp0 -p tcp --dport 443 -j MARK --set-mark 0x4

ip route add default via хх1.хх.хх.1 dev ppp0 table 80.out
ip route add default via хх1.хх.хх.1 dev ppp0 table 443.out
ip route flush cache


200 User
280 80.out
243 443.out

/ # ip ro
default dev ppp1  scope link 
...
хх9.ххх.ххх.1 dev ppp0  proto kernel  scope link  src хх9.ххх.ххх.хх8 
...
хх3.ххх.ххх.26 dev ppp1  proto kernel  scope link  src 1хх.ххх.ххх.хх2 
/ # 
iptables -t mangle -nvL
Chain PREROUTING (policy ACCEPT 825 packets, 155K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2980  689K _NDM_PREROUTING_MC  all  --  *      *       0.0.0.0/0            224.0.0.0/4         
14443 3534K _NDM_IPSEC_PREROUTING  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 MARK       tcp  --  ppp1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 MARK set 0x2
    0     0 MARK       tcp  --  ppp1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 MARK set 0x4
....

/ # ip route show table User
default via хх9.ххх.ххх.хх8 dev ppp0 
/ # ip route show table 80.out
default via 1хх.ххх.ххх.хх2 dev ppp1 
/ # ip route show table 443.out
default via 1хх.ххх.ххх.хх2 dev ppp1 
/ # 

 

Так же  https://keenetic-gi.ga/2018/01/16/selective-routing.html     Выборочный роутинг до перечисленных доменов

 

[Oleg Nekrylov 8]

Вот как это изящно сделано у Synology. К сожалению свое видео снять не могу: мой роутер дети залили кока-колой еще весной, но к концу этой недели (надеюсь) приедет новый экземпляр Synology RT2600ac.

Хотелось бы, чтобы и у Keenetic было что-то подобное "из коробки", без использования всяких entware...

[Goblin 163]

43 минуты назад, Oleg Nekrylov сказал:

приедет новый экземпляр Synology RT2600ac

чего-то они потерли инфу о роутерах, есть странички на английском, на русском больше нет. мало их в России. заказывать только если в gig spb за 19999р. + доставка. (в сша 199.99 их валюты) дороговато что-то... или мне кажется и начинка того стоит?

[r13 1,254]

3 часа назад, Oleg Nekrylov сказал:

Вот как это изящно сделано у Synology. К сожалению свое видео снять не могу: мой роутер дети залили кока-колой еще весной, но к концу этой недели (надеюсь) приедет новый экземпляр Synology RT2600ac.

Хотелось бы, чтобы и у Keenetic было что-то подобное "из коробки", без использования всяких entware...

Ну так у кинетика уже давно так без entware, просто выключатель в cli убрали от балансировщика. 

[Oleg Nekrylov 8]

2 часа назад, Goblin сказал:

чего-то они потерли инфу о роутерах, есть странички на английском, на русском больше нет. мало их в России. заказывать только если в gig spb за 19999р. + доставка. (в сша 199.99 их валюты) дороговато что-то... или мне кажется и начинка того стоит?

Из-за того, что границы закрыты (COVID-19), приходится просить родственников (а они уже в возрасте), которые живут в сопредельном государстве, но в принципе, можно заказать самому и здесь. Да, начинка стоит того, правда если у вас есть нужды и потребители, которые смогут ее соответственно нагрузить - иначе смысла нет, тк это не просто роутер, а межсетевой экран в настольном исполнении.

19 минут назад, r13 сказал:

Ну так у кинетика уже давно так без entware, просто выключатель в cli убрали от балансировщика. 

Вот то-то и оно, что имея 2 канала, основной забит "под завязку" и все тормозит, а резервный при этом стоит и прохлаждается, а деньги между прочим, платятся за оба канала.

Edited September 20, 2020 by Oleg Nekrylov

[Oleg Nekrylov 8]

Фактически, мы имеем вот такую неприглядную картину (цифры пока маленькие, из-за малого аптайма - недавно обновил прошивку, а потом выходные,  а так, за неделю, цифры на main исчисляются терабайтами) :

 

Edited September 20, 2020 by Oleg Nekrylov

[Alexander Kudrevatykh 0]

6 hours ago, r13 said:

Ну так у кинетика уже давно так без entware, просто выключатель в cli убрали от балансировщика. 

В инструкциях вроде пишут, что это "работает только для torrent-протокола"

[Alexander Kudrevatykh 0]

6 hours ago, Oleg Nekrylov said:

Вот то-то и оно, что имея 2 канала, основной забит "под завязку" и все тормозит, а резервный при этом стоит и прохлаждается, а деньги между прочим, платятся за оба канала.

Так настройте как нужно - перестанет тормозить. У меня например через один канал пущены все торренты и тор, а через второй - все "человеческие" устройства. В итоге один канал забит под завязку, а на клиентах при этом ничего не тормозит.

[r13 1,254]

44 минуты назад, Alexander Kudrevatykh сказал:

В инструкциях вроде пишут, что это "работает только для torrent-протокола"

нет не только.

ЗЫ просто есть в том числе персональная настройка для встроенного клиента, а так балансировка есть и ее все равно какой протокол.

Скрытый текст

Добавлена возможность одновременного использования WAN-подключений в режиме балансировки (настройка доступна через CLI командой ip policy {name} multipath);

 

Edited September 20, 2020 by r13

[Oleg Nekrylov 8]

44 минуты назад, r13 сказал:

(настройка доступна через CLI командой ip policy {name} multipath);

Может когда-то это и работало, но по факту, начиная с 3.3 (а у меня 3.5 beta 4) - не работает, так же как и OpenVPN TAP (ходит только ICMP), так же как и IKEv2 (коннект есть, а трафик не ходит - никакой).

А что касается балансировки, то мне нужна именно балансировка, а не ручное рассаживание устройств по каналам - у меня большая часть трафика генерируется iSCSI (Hyper-V, ESX) с SAN/NAS

[Oleg Nekrylov 8]

В 20.09.2020 в 19:57, Alexander Kudrevatykh сказал:

В инструкциях вроде пишут, что это "работает только для torrent-протокола"

Сегодня специально проверил - только для torrent (запустил Download Station на Synology DS2419+), для MPIO iSCSI фокус не проходит (Windows 2016/2019, Debian, Synology NAS, Dell/IBM SAN). А на D-Link DFL-860e/1500, Netgear SRX5308/UTM150 - MPIO iSCSI работает, к сожалению на Ubiquiti ER-10X проверить не смог, девайс окончательно сдох.

Edited September 21, 2020 by Oleg Nekrylov
буквы не дописал