MultiWAN policy routing в NDMS 2.12+.

[Le ecureuil]

Здесь идет все обсуждение MultiWAN в NDMS.

[vasek00]

15 минут назад, dexter сказал:

Что сделал:

- подключил резерв через ТД созданную на телефоне

Прописал:

ip policy test
    permit global WifiMaster0/WifiStation0 - ТД резерв через телефон для тестов
    no permit global OTS - основное соединение

ip hotspot
    host a0:88:b4:54:b1:d4 permit - хост с которого пингую яндекс
    host a0:88:b4:54:b1:d4 policy test
    default-policy permit

В данный момент трассировка обрывается на роутере.

 

Создал такой вариант как у вас только

Инет1 ----- роутер ---- Клиент1
Инет2 --------+

ip policy Policy0
    description Proba
    permit global PPPoE1
    no permit global PPPoE0
  ....

ip hotspot
    ....
    host xx:xx:xx:xx:xx:e2 permit
    host xx:xx:xx:xx:xx:e2 policy Policy0
    default-policy deny

Все ОК

 

Пробовал схему до данного релиза 212А501

Инет ----- Роутер1 ---- wi-fi ----- Роутер2 ----- Клиент

При обычной схеме есть некоторые заморочки у клиента при IP DNS роутер1 на нем, а если IP DNS на клиенте поставить IP от роутера2 то все ОК.

Я описывал такую ситуацию ранее при схеме

Инет ----- Роутер1 ---- LAN ---- Роутер2 ----- Клиент

Заморочки у роутера2 по доступу к роутер1, у Клиента все ОК.

Изменено 6 апреля, 2018 пользователем vasek00

[aarnet]

1 час назад, vasek00 сказал:

О каком balance mode идет речь, речь идет о

Тогда смотрим ip route для Unix

в общем  сделать "красиво", как у того же Синолоджи, из web интерфейса пока не судьба.... ok - жаль

Изменено 3 октября, 2020 пользователем aarnet

[aarnet]

6 часов назад, Le ecureuil сказал:

У С там L2-агрегация, у нас же L3+L4.

вы про уровни ? с точки зрения пользователя какая разница ? ему надо что б работало...

[CBLoner]

Еще не тестил пока! Должно работать? 

[vasek00]

Пока вроде в норме на двух каналах, клиента переносил из профиля доступа одного в другой, трассер показывал на согласно выставленным приоритетам по каналам для данного профиля.

Не много не привычно, например можно два профиля в каждом устанавливают нужный канал или каналы (можно основной и резервный, меняя их приоритет в данном профиле)

known host Клиент_1 хх:хх:хх:хх:05:d9
known host Клиент_2 bb:bb:bb:bb:1e:73
known host Клиент_3 аа:аа:аа:аа:c4:be

ip dhcp host хх:хх:хх:хх:05:d9 192.168.1.21
ip dhcp host аа:аа:аа:аа:c4:be 192.168.1.17

ip policy Policy0
    description Proba
    permit global PPPoE1
    permit global PPPoE0
    no permit global Asix
    no permit global FastEthernet0/Vlan3
    no permit global ISP

ip hotspot
….
    host аа:аа:аа:аа:c4:be permit 			??????????????????????
    host аа:аа:аа:аа:c4:be policy Policy0
    host cc:cc:cc:cc:3c:94 permit
    ….
    host хх:хх:хх:хх:05:d9 deny
    default-policy deny

Клиент_3 аа:аа:аа:аа:c4:be попал в профиль Proba - имеет доступ в интернет и default на PPPoE1 для всех остальных клиентов основной канал PPPoE0. Трассер с Клиент_3 подтвердил данные по маршруту через PPPoE1.

 

[KorDen]

Возможно ли в дальнейшем расширение до полноценного PBR по портам? Типа "не гнать торренты (source host aa:bb:cc:dd:ee port 1234) в 3G-модем"?

[Le ecureuil]

14 минуты назад, KorDen сказал:

Возможно ли в дальнейшем расширение до полноценного PBR по портам? Типа "не гнать торренты (source host aa:bb:cc:dd:ee port 1234) в 3G-модем"?

Может быть, но пока давайте хотя бы вариант с раскидыванием хостов и встроенных в Keenetic сервисов по нужным политикам доведем до ума.

Ну и load-balancing на несколько каналов мне видится тоже приоритетнее.

[dexter]

Сегодня попробую хост в IP-IP туннель завернуть. Поддержу KorDen в просьбе, т.к. не весь трафик хоста хотелось бы гнать через туннель, а только торренты.

[Le ecureuil]

4 минуты назад, dexter сказал:

Сегодня попробую хост в IP-IP туннель завернуть. Поддержу KorDen в просьбе, т.к. не весь трафик хоста хотелось бы гнать через туннель, а только торренты.

Если подскажете, как дешево (в смысле нагрузки на CPU) отличить каждый TCP/UDP поток торрента от TCP/UDP потока неторрента, то подумаем. Пока у меня идей нет.

[vasek00]

А мне бы интересно при двух каналах и dnsmasq гнать запросы на два DNS по разным каналам, т.е. имеем  :

server=IP_DNS1
server=IP_DNS2
all-servers

есть IP_DNS1 то по одному маршруту, IP_DNS2 по другому или список http://192.168.1.1/_/controlPanel/policies добавить получателя и маршрут для него

IP_адресс -> маршрут

 

13 минуты назад, Le ecureuil сказал:

Если подскажете, как дешево (в смысле нагрузки на CPU) отличить каждый TCP/UDP поток торрента от TCP/UDP потока неторрента, то подумаем. Пока у меня идей нет.

Торрент весит на определенном порту (естественно на стат а не на динамическом) т.е. все что с "IP:порт_А" и все остальное "IP"

[vasek00]

28 минут назад, Le ecureuil сказал:

Может быть, но пока давайте хотя бы вариант с раскидыванием хостов и встроенных в Keenetic сервисов по нужным политикам доведем до ума.

Ну и load-balancing на несколько каналов мне видится тоже приоритетнее.

т.е. равномерное распределение нагрузки по каналам или как быть с сайтами с авторизацией на которых маршрут должен быть сохранен на все время, но тогда это не "load-balancing"

[r13]

8 минут назад, vasek00 сказал:

Торрент весит на определенном порту (естественно на стат а не на динамическом) т.е. все что с "IP:порт_А" и все остальное "IP"

Это только входящих соединений трафик на один порт. А исходящий?

ЗЫ да все равно костыль, только если торрент не меняет порты каждый раз.

 

Изменено 6 апреля, 2018 пользователем r13

[vasek00]

11 минуту назад, r13 сказал:

ЗЫ да все равно костыль, только если торрент не меняет порты каждый раз.

В настройках если на статике то не меняет. А вот с исходящими да.

[KorDen]

1 час назад, Le ecureuil сказал:

Если подскажете, как дешево (в смысле нагрузки на CPU) отличить каждый TCP/UDP поток торрента от TCP/UDP потока неторрента, то подумаем. Пока у меня идей нет.

По порту со стороны клиента же, как я и написал... Ну т.е. в клиенте строго указываем исходящий порт (диапазон), входящий трафик уже идет на один конкретный порт. А дальше политика на tcp/udp стримы с диапазона портов. В том числе в идеале хитрую политику на распределение по двум каналам...

Или выделение по tcp/udp порту - тяжелая нагрузка?

Изменено 6 апреля, 2018 пользователем KorDen

[Le ecureuil]

29 минут назад, KorDen сказал:

По порту со стороны клиента же, как я и написал... Ну т.е. в клиенте строго указываем исходящий порт (диапазон), входящий трафик уже идет на один конкретный порт. А дальше политика на tcp/udp стримы с диапазона портов. В том числе в идеале хитрую политику на распределение по двум каналам...

Или выделение по tcp/udp порту - тяжелая нагрузка?

А много клиентов умеют задавать порты источника для исходящих содинений? Я что-то не помню, покажите если так.

В таком случае конечно можно.

[ShadoW]

Политики Доступа!

Создал новый профиль - аналог Основного профиля. К новому профилю привязал одно устройство - все, у этого устройство ПРОПАЛ Интернет! Хотя этот профиль выглядит точно так же, как и Основной профиль! Если перекинуть из этого нового профиля это устройство назад в Основной профиль, то интернет сразу же ПОЯВЛЯЕТСЯ снова!

Почему так?

 

Первоначально была попытка создать профиль и засунуть туда устройство, которое должно гнать весь трафик через OpenVPN

Профиль:

1.OpenVPN - основной приоритет

2.Интернет (L2TP0) - резервный приоритет.

Но получилось так: Пока OpenVPN работает, устройство нормально гонит трафик через VPN, потом я вручную отключаю VPN-соединение и у устройства пропадает совсем Интернет, хотя в профиле (второй строкой-резервное) имеется Подключение (L2TP0).

Разве так должно быть?

 

[KorDen]

2 часа назад, Le ecureuil сказал:

А много клиентов умеют задавать порты источника для исходящих содинений?

Из виндовых как минимум в uTorrent и qBittorrent можно указать диапазон исходящих портов, и оно правильно работает, проверено.

 

Скажем, есть основной толстый проводной инет; резерв LTE-модем; VPN через текущий дефолтный канал. Большинство клиентов ходят через текущий дефолт.

Для торрентов (source-based) и другого тяжелого, но не критичного трафика (скажем, онлайн-видеонаблюдение, при наличии локальной записи - тут уже destination ip:port based) задан жестко только толстый инет, и при его падении они должны дохнуть, чтобы не забить резерв и не выкачать лимит.

При этом я например могу независимо закинуть условно ПК где крутятся торренты ходить в сеть через канал VPN, но торренты должны продолжить ходить через инет (по задаваемому приоритету правил или по принципу наиболее точного правила)

Дальше думаю о том, что вроде как нельзя рулить destination ip/port, Мыcль улетает в сторону традиционных цисковских access-list или -t mangle -j mark, потому что как-то не совсем ясно, как будут указываться разные диапазоны входящих/исходящих портов в Ip hotspot.

Скажем, правило "только толстый канал" в моем представлении бы содержало что-то типа (имена переменных условны)

src_host aa:bb:cc:dd:ee:ff src_port tcp 20000 through 21000
src_host aa:bb:cc:dd:ee:ff src_port udp 20000 through 21000
dst_host 1.2.3.4 dst_port tcp 8443
dst_host 5.6.7.8/24

При этом у этого правила высший приоритет, дальше с приоритетом пониже я могу добавить для src aa:bb:cc:dd:ee:ff  правило "ходить только через vpn" а условные торренты и пакеты в сетку 5.6.7.8/24 продолжат ходить мимо VPN (последнее это по сути обычный маршрут через заданный, добавлено для наглядности и чтобы были понятны приоритеты)

Короче, типичный mangle/mark, только интегрированный с существующей системой резервирования инета.

[r13]

@eralde @Dmitry Tishkin В настройках не хватает(или не нашел) возможности перенести в политику сразу всех зарегистрированных клиентов. По одному их выделять не удобно. Нужна опция select all

[Le ecureuil]

1 час назад, ShadoW сказал:

Политики Доступа!

Создал новый профиль - аналог Основного профиля. К новому профилю привязал одно устройство - все, у этого устройство ПРОПАЛ Интернет! Хотя этот профиль выглядит точно так же, как и Основной профиль! Если перекинуть из этого нового профиля это устройство назад в Основной профиль, то интернет сразу же ПОЯВЛЯЕТСЯ снова!

Почему так?

 

Первоначально была попытка создать профиль и засунуть туда устройство, которое должно гнать весь трафик через OpenVPN

Профиль:

1.OpenVPN - основной приоритет

2.Интернет (L2TP0) - резервный приоритет.

Но получилось так: Пока OpenVPN работает, устройство нормально гонит трафик через VPN, потом я вручную отключаю VPN-соединение и у устройства пропадает совсем Интернет, хотя в профиле (второй строкой-резервное) имеется Подключение (L2TP0).

Разве так должно быть?

 

Включайте system debug, отключайте openvpn, снимайте self-test и кидайте сюда. Посмотрим, что не так.

[dexter]

Что-то ничего не выходит.

Что сделал:

- подключил резерв через ТД созданную на телефоне

Прописал:

ip policy test
    permit global WifiMaster0/WifiStation0 - ТД резерв через телефон для тестов
    no permit global OTS - основное соединение

ip hotspot
    host a0:88:b4:54:b1:d4 permit - хост с которого пингую яндекс
    host a0:88:b4:54:b1:d4 policy test
    default-policy permit

В данный момент трассировка обрывается на роутере.

Селф-тест в режиме дебаг скрытым постом ниже.

[vasek00]

50 минут назад, KorDen сказал:

Из виндовых как минимум в uTorrent и qBittorrent можно указать диапазон исходящих портов, и оно правильно работает, проверено.

При этом я например могу независимо закинуть условно ПК где крутятся торренты ходить в сеть через канал VPN, но торренты должны продолжить ходить через инет (по задаваемому приоритету правил или по принципу наиболее точного правила)

Дальше думаю о том, что вроде как нельзя рулить destination ip/port, Мыcль улетает в сторону традиционных цисковских access-list или -t mangle -j mark, потому что как-то не совсем ясно, как будут указываться разные диапазоны входящих/исходящих портов в Ip hotspot.

 

Короче, типичный mangle/mark, только интегрированный с существующей системой резервирования инета.

1. часть как то все очень наворочено особенно для обычного пользователя

2. часть mangle/mark маловероятно думаю => при HW_NAT и загрузке CPU в данном случае (особенно для 7628)

[r13]

@Le ecureuil

А как сделать сделать такую картинку:

Есть глобальный интерфейс, допустим VPN1

Для  политики 1 VPN1в списке кандидатов default route

Для  политики 2 VPN1 исключен из списка кандидатов default route

Как получить возможность доступа к интерфейсу VPN1 для устройств из политики 2 при этом не делая его возможным резервом?

 

[dexter]

Нифига не работает. default-policy на deny поменял, но ничего не меняется.

[vasek00]

1 минуту назад, dexter сказал:

Нифига не работает. default-policy на deny поменял, но ничего не меняется.

речь не про deny а про связку "роутер1-------роутер2" как то сказывается настройка политики интерфейсов между двумя роутерами (это было и ранее до данного релиза 212А501)

[dexter]

Так, свою проблему я решил. Из-за моих настроек сегментов вида:

ip static Vlan101 OTS
ip static Vlan104-MCAST OTS
ip static Guest OTS
ip static Home OTS

Пока не прописал 

ip static Home WifiMaster0/WifiStation0

пакеты не шли.

Теперь всё заработало и я пошел через Мегафон(WifiMaster0/WifiStation0).

[Le ecureuil]

52 минуты назад, r13 сказал:

@Le ecureuil

А как сделать сделать такую картинку:

Есть глобальный интерфейс, допустим VPN1

Для  политики 1 VPN1в списке кандидатов default route

Для  политики 2 VPN1 исключен из списка кандидатов default route

Как получить возможность доступа к интерфейсу VPN1 для устройств из политики 2 при этом не делая его возможным резервом?

 

Никак, такой функционал не закладывался.

[anticr]

У меня почему то сначала не было страницы приоритетов после обновления, но как использовал ссылку эту, она сразу возникла

8 часов назад, vasek00 сказал:

есть IP_DNS1 то по одному маршруту, IP_DNS2 по другому или список http://192.168.1.1/_/controlPanel/policies добавить получателя и маршрут для него

IP_адресс -> маршрут

 

[r13]

@Le ecureuil

В картинке с policy с одной стороны глобальные интерфейсы, с другой private|protected. А как в этой парадигме использовать public non global интерфейсы?

[dexter]

Подскажите как мне загнать хост с IP 192.168.100.253 в IPIP туннель и вывести его в инет через удаленный роутер.

Оба роутера соединены через IPIP IPSec туннель. U2 выступает в качестве сервера к ней и подключен клиент, а U1 выступает в качестве клиента, через него я и хочу выйти в инет.

Туннель на обоих концах имеет security-level private и через него маршрутизируются удаленные сети.

Конфиг U2.

Скрытый текст

! $$$ Model: ZyXEL Keenetic Ultra II
known host lenovo-book-wifi a0:88:b4:54:b1:d4
!

interface GigabitEthernet0/Vlan100
    rename Vlan100-Home
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface GigabitEthernet1
    rename OTS
    description Internet
    mac address factory wan
    security-level public
    ip address dhcp
    ip dhcp client no dns-routes
    ip dhcp client no name-servers
    ip access-group _WEBADMIN_OTS in
    ip global 700
    igmp upstream
    up
!
interface Bridge0
    rename Home
    inherit Vlan100-Home
    include AccessPoint
    include AccessPoint_5G
    security-level private
    ip address 192.168.100.254 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface IPIP0
    security-level private
    ip address 192.168.254.254 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key ns3 hrKENPUvPCHOXOe+Wg03E2wD
    ipsec ikev2
    tunnel source auto
    up
!
ip route 192.168.30.0 255.255.255.0 192.168.254.253 IPIP0 auto

!

ip hotspot
    host a0:88:b4:54:b1:d4 permit
    default-policy permit
!

Конфиг U1

Скрытый текст

! $$$ Model: ZyXEL Keenetic Ultra

interface GigabitEthernet0/Vlan2
    rename ISP
    description "Broadband connection"
    mac address factory wan
    security-level public
    ip address dhcp
    ip dhcp client hostname bikovo-17
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip mtu 1500
    ip access-group _WEBADMIN_ISP in
    ip global 700
    igmp upstream
    up
!
interface Bridge0
    rename Home-Lan
    inherit Vlan30-Home-Lan
    include AccessPoint
    include AccessPoint_5G
    security-level private
    ip address 192.168.30.254 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface IPIP0
    security-level private
    ip address 192.168.254.253 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key ns3 hrKENPUvPCHOXOe+Wg03E2wD
    ipsec ikev2
    tunnel destination 31.129.200.42
    up
!
ip route 192.168.100.0 255.255.255.0 192.168.254.254 IPIP0 auto
!
ip static Home-Lan ISP

 

Изменено 7 апреля, 2018 пользователем dexter

[Le ecureuil]

42 минуты назад, dexter сказал:

Подскажите как мне загнать хост с IP 192.168.100.253 в IPIP туннель и вывести его в инет через удаленный роутер.

Оба роутера соединены через IPIP IPSec туннель. U2 выступает в качестве сервера к ней и подключен клиент, а U1 выступает в качестве клиента, через него я и хочу выйти в инет.

Туннель на обоих концах имеет security-level private и через него маршрутизируются удаленные сети.

Конфиг U2.

  Показать содержимое

! $$$ Model: ZyXEL Keenetic Ultra II
known host lenovo-book-wifi a0:88:b4:54:b1:d4
!

interface GigabitEthernet0/Vlan100
    rename Vlan100-Home
    security-level private
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface GigabitEthernet1
    rename OTS
    description Internet
    mac address factory wan
    security-level public
    ip address dhcp
    ip dhcp client no dns-routes
    ip dhcp client no name-servers
    ip access-group _WEBADMIN_OTS in
    ip global 700
    igmp upstream
    up
!
interface Bridge0
    rename Home
    inherit Vlan100-Home
    include AccessPoint
    include AccessPoint_5G
    security-level private
    ip address 192.168.100.254 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface IPIP0
    security-level private
    ip address 192.168.254.254 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key ns3 hrKENPUvPCHOXOe+Wg03E2wD
    ipsec ikev2
    tunnel source auto
    up
!
ip route 192.168.30.0 255.255.255.0 192.168.254.253 IPIP0 auto

!

ip hotspot
    host a0:88:b4:54:b1:d4 permit
    default-policy permit
!

Конфиг U1

  Показать содержимое

! $$$ Model: ZyXEL Keenetic Ultra

interface GigabitEthernet0/Vlan2
    rename ISP
    description "Broadband connection"
    mac address factory wan
    security-level public
    ip address dhcp
    ip dhcp client hostname bikovo-17
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ip mtu 1500
    ip access-group _WEBADMIN_ISP in
    ip global 700
    igmp upstream
    up
!
interface Bridge0
    rename Home-Lan
    inherit Vlan30-Home-Lan
    include AccessPoint
    include AccessPoint_5G
    security-level private
    ip address 192.168.30.254 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    up
!
interface IPIP0
    security-level private
    ip address 192.168.254.253 255.255.255.0
    ip dhcp client dns-routes
    ip dhcp client name-servers
    ipsec preshared-key ns3 hrKENPUvPCHOXOe+Wg03E2wD
    ipsec ikev2
    tunnel destination 31.129.200.42
    up
!
ip route 192.168.100.0 255.255.255.0 192.168.254.254 IPIP0 auto
!
ip static Home-Lan ISP

 

Пока на клиенте не сделаете туннель с SL public и ip global > 0 и не пропишете default route на него через ip route - никак.