MultiWAN policy routing в NDMS 2.12+.

[Le ecureuil]

Здесь идет все обсуждение MultiWAN в NDMS.

[Le ecureuil]

  В 10.12.2018 в 12:44, Trumph сказал:

ну это просто про "никогда"

Показать  

Мы в курсе про VTI, но @r13 прав, до перехода на новое ядро об этом вообще рано думать. Портировать что-то крупное в 3.4 сейчас уже немного поздно - слишком разошелся контекст.

[r13]

@Le ecureuil а вот эта тема, с возможностью использовать политики для vpn соединений вместо «подключаться через» жива или загнулась? разработка ведется?

 

Изменено 21 декабря, 2018 пользователем r13

[r13]

@Le ecureuil Как public интерфейсы без ip global работают совместно с policy routing? Или они работают только в основном профиле?

[Le ecureuil]

  В 21.12.2018 в 23:58, r13 сказал:

@Le ecureuil а вот эта тема, с возможностью использовать политики для vpn соединений вместо «подключаться через» жива или загнулась? разработка ведется?

 

Показать  

Разработка ведется, но пока сложно спрогнозировать завершение.

[Le ecureuil]

  В 25.12.2018 в 07:22, r13 сказал:

@Le ecureuil Как public интерфейсы без ip global работают совместно с policy routing? Или они работают только в основном профиле?

Показать  

Только в основном.

[Alexander Eerie]

  В 10.12.2018 в 11:44, Trumph сказал:

ну зачем же так категорично

https://wiki.strongswan.org/projects/strongswan/wiki/RouteBasedVPN

 

Показать  

это тунель внутри айписека... всеже айписек не роутится)

[Le ecureuil]

  В 11.01.2019 в 17:43, Alexander Eerie сказал:

это тунель внутри айписека... всеже айписек не роутится)

Показать  

Там рекомендуется делать хитро - селекторы 0.0.0.0/0 в оба конца + маркировка, и маркировать нужный нам трафик.

Хотя да, это не похоже на проприетарные костыли от других вендоров.

[r13]

  В 21.12.2018 в 23:58, r13 сказал:

@Le ecureuil а вот эта тема, с возможностью использовать политики для vpn соединений вместо «подключаться через» жива или загнулась? разработка ведется?

 

Показать  

@Le ecureuil добрый день, подвижек в этом направлении нет?

ЗЫ может отдельную тему в развитии завести?

[Le ecureuil]

  В 23.04.2019 в 07:57, r13 сказал:

@Le ecureuil добрый день, подвижек в этом направлении нет?

ЗЫ может отдельную тему в развитии завести?

Показать  

Можно конечно.

Пока чуть другим заняты.

[Aleksey Evsyukov]

Добрый день.

Подскажите, в чем может быть проблема.

Маршрутизатор Omni (KN-1410), версия ОС 3.1

Интернет от двух провайдеров, PPPoE со статикой и PPPoE без статики. Была включена балансировка и все прекрасно работало.

У провайдера без статики подключили услугу статический IP, и тип подключения сменился с PPPoE без статики на IPN без авторизации. В такой конфигурации балансировка работает некорректно. Изнутри сети все работает. А вот извне случайные хосты не видят внешние IP ни первого ни второго провайдера.

 

[Le ecureuil]

  В 25.09.2019 в 05:58, Aleksey Evsyukov сказал:

Добрый день.

Подскажите, в чем может быть проблема.

Маршрутизатор Omni (KN-1410), версия ОС 3.1

Интернет от двух провайдеров, PPPoE со статикой и PPPoE без статики. Была включена балансировка и все прекрасно работало.

У провайдера без статики подключили услугу статический IP, и тип подключения сменился с PPPoE без статики на IPN без авторизации. В такой конфигурации балансировка работает некорректно. Изнутри сети все работает. А вот извне случайные хосты не видят внешние IP ни первого ни второго провайдера.

 

Показать  

Вам в техподдержку.

[Iveus]

Le ecureuil, не стандартный вопрос. Можно ли подключить одного, и того же провайдера, но двумя кабелями по 100 мегабит. Можно ли будет сделать с них MultiWAN, и разбросать клиентов по профилям?

[Le ecureuil]

  В 01.10.2019 в 21:43, Iveus сказал:

Le ecureuil, не стандартный вопрос. Можно ли подключить одного, и того же провайдера, но двумя кабелями по 100 мегабит. Можно ли будет сделать с них MultiWAN, и разбросать клиентов по профилям?

Показать  

Вопрос только в том, не выдаст ли он вам один и тот же gateway - и это будет печально, поскольку не проектировалось на такое.

Если точно нет, то все можно.

[Aleksey Evsyukov]

  В 27.09.2019 в 15:18, Le ecureuil сказал:

Вам в техподдержку.

Показать  

Вы имеете в виду техподдержку провайдера?

Изменено 3 октября, 2019 пользователем Aleksey Evsyukov

[Le ecureuil]

  В 03.10.2019 в 08:46, Aleksey Evsyukov сказал:

Вы имеете в виду техподдержку провайдера?

Показать  

Нет, оборудования.

[metahor]

  В 01.10.2019 в 21:43, Iveus сказал:

Le ecureuil, не стандартный вопрос. Можно ли подключить одного, и того же провайдера, но двумя кабелями по 100 мегабит. Можно ли будет сделать с них MultiWAN, и разбросать клиентов по профилям?

Показать  

Вы два аккаунта разных будете брать?

[Oleg Nekrylov]

  В 09.10.2019 в 20:11, metahor сказал:

Вы два аккаунта разных будете брать?

Показать  

У меня 2 разных аккаунта (IPoE) и Load Balancing не помешал бы - очень неудобно ждать падения канала (или в ручную переключать "основной/резервный")

[vasek00]

  В 18.08.2020 в 11:02, Oleg Nekrylov сказал:

У меня 2 разных аккаунта (IPoE) и Load Balancing не помешал бы - очень неудобно ждать падения канала (или в ручную переключать "основной/резервный")

Показать  

Имея два канала - ОНИ оба активны (т.е. оба подняты и имеют записи в таблице маршрутизации, оличие их только в том что есть одна запись default маршрут на нужный канал), переключение с одного на другой происходит автоматом -> смена default маршрута на другой канал.

Load Balancing - подразумевает под собой балансировку трафика между каналами А и Б например 50/50, т.е. половина по одному другая по другому. Для сервиса в интернете на которых требуется аутентификация будут проблемы, так как пакет идет с одного IP, а другой уже может с другого IP (два канала два разных IP) -> разрыв соединения, так же сервисы по скачке файлов.

Для торрента данная фишка проблем не создает, так как файл разбивается на куски и если данная часть получалась с ошибкой то будет запрошена повторно.

 

Из всего сказанного и того что вы хотите - переключения с основного на резервный не чего ждать и переключать не надо.

[Oleg Nekrylov]

  В 19.08.2020 в 07:48, vasek00 сказал:

Load Balancing - подразумевает под собой балансировку трафика между каналами А и Б например 50/50, т.е. половина по одному другая по другому.

Показать  

Я это и имел в виду.

  В 19.08.2020 в 07:48, vasek00 сказал:

Для сервиса в интернете на которых требуется аутентификация будут проблемы, так как пакет идет с одного IP, а другой уже может с другого IP (два канала два разных IP) -> разрыв соединения, так же сервисы по скачке файлов.

Для торрента данная фишка проблем не создает, так как файл разбивается на куски и если данная часть получалась с ошибкой то будет запрошена повторно.

Показать  

Странно, но на D-Link DFL-860E и Netgear SRX5308 таких проблем не наблюдается (девайсы хорошие, но надо признать - VPN слишком старые, чтобы ими было интересно пользоваться сейчас). Зато когда попытался отсадить Wireguard и IPSec (Site-to-Site) на резервный канал (как менее загруженный), они не захотели работать (на моей стороне Kennetic с "белыми" IP, а клиенты все за NAT - поэтому коннектятся они ко мне, а не я к ним), хотя с наружи, пинги на резервный канал идут, сайты и почта работает (серверы находится в LAN и проброшены порты с основного и резервного каналов, а в DNS используется round-robin), .

Изменено 22 августа, 2020 пользователем Oleg Nekrylov

[vasek00]

  В 22.08.2020 в 10:20, Oleg Nekrylov сказал:

Я это и имел в виду.

Странно, но на D-Link DFL-860E и Netgear SRX5308 таких проблем не наблюдается (девайсы хорошие, но надо признать - VPN слишком старые, чтобы ими было интересно пользоваться сейчас). Зато когда попытался отсадить Wireguard и IPSec (Site-to-Site) на резервный канал (как менее загруженный), они не захотели работать (на моей стороне Kennetic с "белыми" IP, а клиенты все за NAT - поэтому коннектятся они ко мне, а не я к ним), хотя с наружи, пинги на резервный канал идут, сайты и почта работает (серверы находится в LAN и проброшены порты с основного и резервного каналов, а в DNS используется round-robin), .

Показать  

Не знаю, с 2012 года пробовал эту штуку на разных роутерах, в то время и сейчас использовали сервис "Роутинг и policy-routing в Linux при помощи iproute2" если же делали маркировку пакетов то это уже не Balancing так как определенные адреса шли по своему маршруту. Так же можно создать таблицу маршрутов для IP адресов загоняя нужные адреса на нужный маршрут но опять же вопрос по кол-во серверов.

Серфинг в интернете работает, вопрос устраивает ли он вас в такой форме.

Попробуйте с таких серверов например как Turbobit/Uploaded скачать на вашем D-Link DFL-860E и Netgear SRX5308.

 

[Oleg Nekrylov]

  В 23.08.2020 в 07:01, vasek00 сказал:

Попробуйте с таких серверов например как Turbobit/Uploaded скачать на вашем D-Link DFL-860E и Netgear SRX5308.

Показать  

Все нормально качается. Сегодня попробовал тоже самое сделать на работе, на Ubiquiti ER-10X (валялся без дела - были PoE порты пожжены, но пришлось заморочиться и починить) - работает, все качается (специально из-за этого качал сборку от ALM 😁).

Вообще, это стандартная функция у роутеров/межсетевых экранов с несколькими WAN-портами и не понятно почему это не должно, по вашим словам, работать.

[vasek00]

  В 24.08.2020 в 17:19, Oleg Nekrylov сказал:

Вообще, это стандартная функция у роутеров/межсетевых экранов с несколькими WAN-портами и не понятно почему это не должно, по вашим словам, работать.

Показать  

Читаем внимательно про что было написано выше про "ip route" если нет то в интернет про принцип работы, так про "ip ro ... nexthop ..."

http://www.tinlib.ru/kompyutery_i_internet/linux_advanced_routing_amp_traffic_control_howto/index.php

http://www.tinlib.ru/kompyutery_i_internet/linux_advanced_routing_amp_traffic_control_howto/p10.php

  Показать контент

Чтобы маршрутизировать пакеты по метке необходимо создать свою таблицу маршрутизации. Далее надо добавить правило, по которому в эту таблицу будут направляться пакеты на маршрутизацию. Теперь помеченные пакеты будут уходить на маршрутизацию в нужную таблицу. И определить маршруты в данной таблице.

 

Более сложный на микротике https://asp24.ru/mikrotik/pravilnyy-dst-nat-pri-ispolzovanii-2-h-i-bolee-provayderov-na-mikrotik/

 

 

По вашей ссылке имеем в итоге

...
set firewall modify balance rule 10 action modify
set firewall modify balance rule 10 destination group network-group PRIVATE_NETS
set firewall modify balance rule 10 modify table main

set firewall modify balance rule 20 action modify
set firewall modify balance rule 20 destination group address-group ADDRv4_eth0
set firewall modify balance rule 20 modify table main
...

set load-balance group G interface <id> route table 10

set load-balance group G interface eth0 weight 70 
set load-balance group G interface eth1 weight 30

  
show ip route
show ip route table 201
show ip route table 202

Даже тут на форуме есть примеры данного варианта работы с "route table"

 

Я тоже как то что-то пробовал и то же что-то работало

  Показать контент

При наличие двух каналов ppp0 и ppp1 (основной)

echo 200 User >> /opt/etc/iproute2/rt_tables 
ip rule add from 192.168.130.2 table User
ip route add default via хх1.хх.хх.хх dev ppp0 table User
ip route flush cache
	

ip rule ls

0:      from all lookup local 
32765:  from 192.168.130.2 lookup User 
32766:  from all lookup main 
32767:  from all lookup default 


echo 280 80.out >> /opt/etc/iproute2/rt_tables
echo 243 443.out >> /opt/etc/iproute2/rt_tables
ip rule add fwmark 0x2 table 80.out
ip rule add fwmark 0x4 table 443.out
iptables -I PREROUTING -t mangle -i ppp0 -p tcp --dport 80 -j MARK --set-mark 0x2
iptables -I PREROUTING -t mangle -i ppp0 -p tcp --dport 443 -j MARK --set-mark 0x4

ip route add default via хх1.хх.хх.1 dev ppp0 table 80.out
ip route add default via хх1.хх.хх.1 dev ppp0 table 443.out
ip route flush cache


200 User
280 80.out
243 443.out

/ # ip ro
default dev ppp1  scope link 
...
хх9.ххх.ххх.1 dev ppp0  proto kernel  scope link  src хх9.ххх.ххх.хх8 
...
хх3.ххх.ххх.26 dev ppp1  proto kernel  scope link  src 1хх.ххх.ххх.хх2 
/ # 
iptables -t mangle -nvL
Chain PREROUTING (policy ACCEPT 825 packets, 155K bytes)
 pkts bytes target     prot opt in     out     source               destination         
 2980  689K _NDM_PREROUTING_MC  all  --  *      *       0.0.0.0/0            224.0.0.0/4         
14443 3534K _NDM_IPSEC_PREROUTING  all  --  *      *       0.0.0.0/0            0.0.0.0/0           
    0     0 MARK       tcp  --  ppp1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:80 MARK set 0x2
    0     0 MARK       tcp  --  ppp1   *       0.0.0.0/0            0.0.0.0/0            tcp dpt:443 MARK set 0x4
....

/ # ip route show table User
default via хх9.ххх.ххх.хх8 dev ppp0 
/ # ip route show table 80.out
default via 1хх.ххх.ххх.хх2 dev ppp1 
/ # ip route show table 443.out
default via 1хх.ххх.ххх.хх2 dev ppp1 
/ # 

 

Так же  https://keenetic-gi.ga/2018/01/16/selective-routing.html     Выборочный роутинг до перечисленных доменов

 

[Oleg Nekrylov]

Вот как это изящно сделано у Synology. К сожалению свое видео снять не могу: мой роутер дети залили кока-колой еще весной, но к концу этой недели (надеюсь) приедет новый экземпляр Synology RT2600ac.

Хотелось бы, чтобы и у Keenetic было что-то подобное "из коробки", без использования всяких entware...

[Goblin]

  В 20.09.2020 в 06:54, Oleg Nekrylov сказал:

приедет новый экземпляр Synology RT2600ac

Показать  

чего-то они потерли инфу о роутерах, есть странички на английском, на русском больше нет. мало их в России. заказывать только если в gig spb за 19999р. + доставка. (в сша 199.99 их валюты) дороговато что-то... или мне кажется и начинка того стоит?

[r13]

  В 20.09.2020 в 06:54, Oleg Nekrylov сказал:

Вот как это изящно сделано у Synology. К сожалению свое видео снять не могу: мой роутер дети залили кока-колой еще весной, но к концу этой недели (надеюсь) приедет новый экземпляр Synology RT2600ac.

Хотелось бы, чтобы и у Keenetic было что-то подобное "из коробки", без использования всяких entware...

Показать  

Ну так у кинетика уже давно так без entware, просто выключатель в cli убрали от балансировщика. 

[Oleg Nekrylov]

  В 20.09.2020 в 07:57, Goblin сказал:

чего-то они потерли инфу о роутерах, есть странички на английском, на русском больше нет. мало их в России. заказывать только если в gig spb за 19999р. + доставка. (в сша 199.99 их валюты) дороговато что-то... или мне кажется и начинка того стоит?

Показать  

Из-за того, что границы закрыты (COVID-19), приходится просить родственников (а они уже в возрасте), которые живут в сопредельном государстве, но в принципе, можно заказать самому и здесь. Да, начинка стоит того, правда если у вас есть нужды и потребители, которые смогут ее соответственно нагрузить - иначе смысла нет, тк это не просто роутер, а межсетевой экран в настольном исполнении.

  В 20.09.2020 в 10:02, r13 сказал:

Ну так у кинетика уже давно так без entware, просто выключатель в cli убрали от балансировщика. 

Показать  

Вот то-то и оно, что имея 2 канала, основной забит "под завязку" и все тормозит, а резервный при этом стоит и прохлаждается, а деньги между прочим, платятся за оба канала.

Изменено 20 сентября, 2020 пользователем Oleg Nekrylov

[Oleg Nekrylov]

Фактически, мы имеем вот такую неприглядную картину (цифры пока маленькие, из-за малого аптайма - недавно обновил прошивку, а потом выходные,  а так, за неделю, цифры на main исчисляются терабайтами) :

 

Изменено 20 сентября, 2020 пользователем Oleg Nekrylov

[Alexander Kudrevatykh]

  В 20.09.2020 в 10:02, r13 сказал:

Ну так у кинетика уже давно так без entware, просто выключатель в cli убрали от балансировщика. 

Показать  

В инструкциях вроде пишут, что это "работает только для torrent-протокола"

[Alexander Kudrevatykh]

  В 20.09.2020 в 10:18, Oleg Nekrylov сказал:

Вот то-то и оно, что имея 2 канала, основной забит "под завязку" и все тормозит, а резервный при этом стоит и прохлаждается, а деньги между прочим, платятся за оба канала.

Показать  

Так настройте как нужно - перестанет тормозить. У меня например через один канал пущены все торренты и тор, а через второй - все "человеческие" устройства. В итоге один канал забит под завязку, а на клиентах при этом ничего не тормозит.

[r13]

  В 20.09.2020 в 16:57, Alexander Kudrevatykh сказал:

В инструкциях вроде пишут, что это "работает только для torrent-протокола"

Показать  

нет не только.

ЗЫ просто есть в том числе персональная настройка для встроенного клиента, а так балансировка есть и ее все равно какой протокол.

  Показать контент

Добавлена возможность одновременного использования WAN-подключений в режиме балансировки (настройка доступна через CLI командой ip policy {name} multipath);

 

Изменено 20 сентября, 2020 пользователем r13