MultiWAN policy routing в NDMS 2.12+.

[Le ecureuil]

Здесь идет все обсуждение MultiWAN в NDMS.

[Oleg Nekrylov]

44 минуты назад, r13 сказал:

(настройка доступна через CLI командой ip policy {name} multipath);

Может когда-то это и работало, но по факту, начиная с 3.3 (а у меня 3.5 beta 4) - не работает, так же как и OpenVPN TAP (ходит только ICMP), так же как и IKEv2 (коннект есть, а трафик не ходит - никакой).

А что касается балансировки, то мне нужна именно балансировка, а не ручное рассаживание устройств по каналам - у меня большая часть трафика генерируется iSCSI (Hyper-V, ESX) с SAN/NAS

[Oleg Nekrylov]

В 20.09.2020 в 19:57, Alexander Kudrevatykh сказал:

В инструкциях вроде пишут, что это "работает только для torrent-протокола"

Сегодня специально проверил - только для torrent (запустил Download Station на Synology DS2419+), для MPIO iSCSI фокус не проходит (Windows 2016/2019, Debian, Synology NAS, Dell/IBM SAN). А на D-Link DFL-860e/1500, Netgear SRX5308/UTM150 - MPIO iSCSI работает, к сожалению на Ubiquiti ER-10X проверить не смог, девайс окончательно сдох.

Изменено 21 сентября, 2020 пользователем Oleg Nekrylov
буквы не дописал

[vasek00]

12 часа назад, Oleg Nekrylov сказал:

Сегодня специально проверил - только для torrent (запустил Download Station на Synology DS2419+), для MPIO iSCSI фокус не проходит (Windows 2016/2019, Debian, Synology NAS, Dell/IBM SAN). А на D-Link DFL-860e/1500, Netgear SRX5308/UTM150 - MPIO iSCSI работает, к сожалению на Ubiquiti ER-10X проверить не смог, девайс окончательно сдох.

Два провайдера, на KN1010 один PPPoE на WAN порту (имя на скрине интерфейса ppp0), второй поднят на одном из LAN портов и как итог vlan eth2.4+pptp (имя на скрине интерфейса ppp2). К LAN порту ПК на котором поднят торрент, скачивает файл себе на диск (через интерфейс c именем eth2.1).

Скрытый текст

ip policy Policy0
    description Dual_WAN
    permit global PPPoE0 ------ ppp0
    permit global PPTP0 ------- ppp2
    multipath

ip hotspot
...
    host 70:LAN_ПК:e2 policy Policy0

eth2 - сетевой интерфейс switch в котором eth2.1 vlan для LAN1-3, eth2.4 vlan для LAN4 на котором поднят pptp на провайдера.

 

 

[Oleg Nekrylov]

13 часа назад, vasek00 сказал:

Два провайдера, на KN1010 один PPPoE на WAN порту (имя на скрине интерфейса ppp0), второй поднят на одном из LAN портов и как итог vlan eth2.4+pptp (имя на скрине интерфейса ppp2). К LAN порту ПК на котором поднят торрент, скачивает файл себе на диск (через интерфейс c именем eth2.1).

  Показать содержимое

ip policy Policy0
    description Dual_WAN
    permit global PPPoE0 ------ ppp0
    permit global PPTP0 ------- ppp2
    multipath

ip hotspot
...
    host 70:LAN_ПК:e2 policy Policy0

eth2 - сетевой интерфейс switch в котором eth2.1 vlan для LAN1-3, eth2.4 vlan для LAN4 на котором поднят pptp на провайдера.

 

 

Ничего удивительного, я об этом уже писал выше.

ip policy Policy0
    description torrent-multipath
    permit global ISP   ------------------------------------- main
    permit global GigabitEthernet0/Vlan4  ------------------- backup
    multipath

ip hotspot
    policy Home permit
    host 0c:c4:7a:dc:49:06 permit
    host 0c:c4:7a:dc:49:06 policy Policy0

Все тоже самое, что и у вас, вот только торрент != MPIO iSCSI!

 

[vasek00]

9 часов назад, Oleg Nekrylov сказал:

Все тоже самое, что и у вас, вот только торрент != MPIO iSCSI!

А при чем тут MPIO iSCSI - Multipathing/многопутевое подключение это возможность использовать несколько путей доступа с сервера к хранимым на системе данным, при котором ввод-вывод к одному LUN идет по нескольким путям одновременно.

Netgear SRX5308 - имеет 4 независимых WAN порта поддерживают два режима балансировки нагрузки на уровне сеансов, а так же переключения для повышения отказоустойчивости.

Скрытый текст

Configure Load Balancing or Auto-Rollover
The VPN firewall can be configured on a mutually exclusive basis for either auto-rollover (forincreased system reliability) or load balancing (for maximum bandwidth efficiency). If you do not select load balancing, you need to specify one WAN interface as the primary interface.
• Load balancing mode. The VPN firewall distributes the outbound traffic equally among the WAN interfaces that are functional. You can configure up to four WAN interfaces. The VPN firewall supports weighted load balancing and round-robin load balancing (see Configure Load Balancing Mode and Optional Protocol Binding on page 39).
Note: Scenarios could arise in which load balancing needs to be bypassed for certain traffic or applications. If certain traffic needs to travel on a specific WAN interface, configure protocol binding rules for that WAN interface. The rule should match the desired traffic.
• Primary WAN mode. The selected WAN interface is made the primary interface. The other three interfaces are disabled.
• Auto-rollover mode. The selected WAN interface is defined as the primary link, and another interface needs to be defined as the rollover link. The remaining two interfaces are disabled. As long as the primary link is up, all traffic is sent over the primary link. When the primary link goes down, the rollover link is brought up to send the traffic. When the primary link comes back up, traffic automatically rolls back to the original primary link. If you want to use a redundant ISP link for backup purposes, select the WAN port that should function as the primary link for this mode. Ensure that the backup WAN port has also been configured and that you configure the WAN failure detection method on the WAN Advanced Options screen to support auto-rollover (see Configure the Auto-Rollover Mode and Failure Detection Method on page 44).

Configure Load Balancing Mode and Optional Protocol Binding To use multiple ISP links simultaneously, configure load balancing. In load balancing mode, any WAN port carries any outbound protocol unless protocol binding is configured. When a protocol is bound to a particular WAN port, all outgoing traffic of that protocol is directed to the bound WAN port. For example, if the HTTPS protocol is bound to the WAN1 port and the FTP protocol is bound to the WAN2 port, then the VPN firewall automatically routes all outbound HTTPS traffic from the computers on the LAN through the WAN1 port. All outbound FTP traffic is routed through the WAN2 port.

Protocol binding addresses two issues:

•	Segregation of traffic between links that are not of the same speed. High-volume traffic can be  routed through the WAN port connected to a high-speed link,

and low-volume traffic can be routed through the WAN port connected to the low-speed link.
• Continuity of source IP address for secure connections. Some services, particularly HTTPS, cease to respond when a client’s source IP address changes shortly after a session has been established.
 

Configure Load Balancing Mode

In the Load Balancing Settings section of the screen, configure the following settings:
a. Select the Load Balancing Mode radio button.
b. From the corresponding drop-down list on the right, select one of the following load
balancing methods:
• Weighted LB. With weighted load balancing, balance weights are calculated based on WAN link speed and available WAN bandwidth. This is the default setting and most efficient load balancing algorithm.
• Round-robin. With round-robin load balancing, new traffic connections are sent over a WAN link in a serial method irrespective of bandwidth or link speed. For example, if the WAN1, WAN2, and WAN3 interfaces are active in round-robin load balancing mode, an HTTP request could first be sent over the WAN1 interface, then a new FTP session could start on the WAN2 interface, and then any new connection to the Internet could be made on the WAN3 interface. This load balancing method ensures that a single WAN interface does not carry a disproportionate distribution of sessions.
 

 

 

Изменено 23 сентября, 2020 пользователем vasek00

[Oleg Nekrylov]

Вот я и говорю, что нужна балансировка, на данный момент, весь трафик iSCSI бежит только через основной канал, при этом если запустить торрент (на этом же хосте), то он спокойно разлетается по обоим каналам.

Пытался делать и по весу, все равно идет только через основной.  Даже Steam и тот разлетается, а iSCSI ни в какую.

В конце концов, думаю, придется отдать основной канал iSCSI, а все остальные девайсы придется пересадить на резервный - ну если уж совсем не получается (SRX5308/UTM150 дома гонять не будешь - тк они своими вентиляторами весь мозг съедят)

[vasek00]

В 23.09.2020 в 13:52, Oleg Nekrylov сказал:

Вот я и говорю, что нужна балансировка, на данный момент, весь трафик iSCSI бежит только через основной канал, при этом если запустить торрент (на этом же хосте), то он спокойно разлетается по обоим каналам.

Пытался делать и по весу, все равно идет только через основной.  Даже Steam и тот разлетается, а iSCSI ни в какую.

В конце концов, думаю, придется отдать основной канал iSCSI, а все остальные девайсы придется пересадить на резервный - ну если уж совсем не получается (SRX5308/UTM150 дома гонять не будешь - тк они своими вентиляторами весь мозг съедят)

В наличие то что есть.

 

Делал по весу через ip route так же все работает (описанное тут на форуме есть)

ip ro add default scope global nexthop via IP_адрес dev ppp0 weight 5 nexthop via IP_адрес dev ppp1 weight 10

где via ppp0 и via ppp1 это интерфейсы через которые нужно посылать пакеты, weight вес 5:10

Entware + ip-bridge

 

 

[dexter]

Столкнулся с проблемой. Есть 2 удаленных кинетика. К каждому проброшен IPIP туннель. Иногда нужно выходить в инет через удаленный роутер. Так вот через один выход работает, а через второй сегодня не заработало.

Перетаскиваю свой комп в нужный профиль, а вместо нормальной трассировки "звезды" в консоли. 

Сам туннель работает, т.к. к удаленному кинетику я доступ имею.

Ниже будет селф-тест для понимания картины. Если нужно скину рисунок и другую отладочную информацию.

 

[Oleg Nekrylov]

Вот о чем я говорил. iSCSI на Synology RT2600ac разлетается (все остальное естественно тоже), а на Keenetic Ultra KN-1810 ни в какую, выше 9Мб/с не выжать. 

На скриншоте видна общая нагрузка (на одном канале тариф 100Мб/с, на другом 70-100Мб/с), тренд кривоватенький, но все-таки показательный.

На Upload не смотрите - это я чего-то с QoS наигрался, не могу понять единицы измерения используемые Synology (в правилах QoS, КБ/с - это килобайт или килобит, ни то ни другое не подходит, в результате хрень получается)

Изменено 1 октября, 2020 пользователем Oleg Nekrylov

[aarnet]

я правильно понял, что балансировки нет на данный момент ?

есть VDSL, и два "кабеля", без балансировки как без рук

Изменено 1 октября, 2020 пользователем aarnet

[aarnet]

В 20.09.2020 в 09:54, Oleg Nekrylov сказал:

...но к концу этой недели (надеюсь) приедет новый экземпляр Synology RT2600ac...

был бы SFP  в нем - а так в кинетиках есть SFP но нет умной балансировки, а в Синолоджи нет SFP

[Oleg Nekrylov]

7 часов назад, aarnet сказал:

был бы SFP  в нем - а так в кинетиках есть SFP но нет умной балансировки, а в Синолоджи нет SFP

Вот как раз по поводу SFP я бы и не беспокоился. Если в Keenetic поставить SFP-модуль (без разницы оптика/медь), то его температура выходит за "пределы комфорта" (не хотелось бы устроить пожар в собственном жилище), а вот это уже более существенно, поэтому медиаконвертер (видел даже с питанием от USB) - наше все.

Кстати, в июле (как раз были грозы) был случай: пропал интернет, буквально за неделю до этого, я воткнул SFP-медь (если что-то и прилетит от провайдера, то сдохнет копеечный SFP [у меня их "как грязи"], а не KN-1810), нет интернета и все, Keenetic показывает обрыв. Я всю голову сломал (все приборы к сожалению на работе, поэтому проверить нечем), уже кабель весь выдрал и заменил на категорию 6A (представляете мои мучения, когда я его прокладывал в плинтусах), не помогает, в итоге случайно втыкаю кабель не в SFP, а в WAN и "о чудо!", интернет появился, но какой-то вялый, смотрю, скорость 10Мб/с полудуплекс (ни один имеющийся у меня SFP, не умеет работать на такой скорости). Итогом оказалось, у провайдера полностью сгорел кросс, даже часть стенок шкафа в виде металлических брызг красиво украсило закопченное помещение, а я еще 2 недели сидел на 10Мб/с полудуплекс, и сейчас, вместо старого канала 1Гб/с, имею 2 новых, но только по 100Мб/с

 

9 часов назад, aarnet сказал:

я правильно понял, что балансировки нет на данный момент ?

есть VDSL, и два "кабеля", без балансировки как без рук

Ну какое-то подобие все-таки есть, но вот устроит ли оно вас? Меня нет.

Изменено 2 октября, 2020 пользователем Oleg Nekrylov

[aarnet]

16 часов назад, Oleg Nekrylov сказал:

то его температура выходит за "пределы комфорта"

насколько выходит ?
 

 

16 часов назад, Oleg Nekrylov сказал:

Ну какое-то подобие все-таки есть

попробовал multipath - так и не понял по какому принципу происходит балансинг....

у меня DSL , и несколько WiFi (предположим что это Free WiFi Spot  ) - через сторонние роутеры заведены в кинетик как проводные подключения (сейчас три таких подключения). 
лучше всего скорость у DSL 40/5 - но оно постоянно отваливается в перезагрузку в праймтайм на 1-2 минуты, скорость WiFi Spot-ов разная 10/2, 5/1, 15/3 и все в таком же духе... 

вот как мне балансировкой сделать себе более менее стабильный и максимально широкий канал ? на кинетике это реально ?

PS а синолоджи только 2 порта умеет балансировать ?

 

[vasek00]

6 часов назад, aarnet сказал:

 через сторонние роутеры заведены в кинетик как проводные подключения (сейчас три таких подключения).

Балансир только на WAN порту, если у вас другие роутеры подключены по LAN к Keenetic и в нем подключен один WAN то можно попробовать Entware + ip route

Инет1--------WAN-Keenetic----LAN----Роутер1---Инет2
Инет3----роутер2-LAN-+

  ip ro add default scope global nexthop via IP_Инет1 dev ppp0 weight 5 nexthop via 192.168.1.10 dev br0 weight 10

br0 основной интерфейс роутера 192.168.1.1 Keenetic и ppp0 интерфейс Инет1 на нем

192.168.1.10 роутер1

т.е. часть пакетов по ppp0 а часть на интерфейс br0 на адрес 192.168.1.10

Примечание - обратить внимание на работу DNS запросов, лучше чтоб были маршруты на них через свои интерфейсы. Более двух выходов не пробовал.

 

 

Так же можно любого клиента из LAN (речь идет об IP) можно сделать default маршрут отличный от основного через table

/opt/etc/iproute2 # echo 200 inetii >> /opt/etc/iproute2/rt_tables
/opt/etc/iproute2 # ip rule add from 192.168.1.5 table inetii
/opt/etc/iproute2 # ip route add default via 192.168.1.10 dev br0 table inetii
/opt/etc/iproute2 # ip ro list table inetii
default via 192.168.1.5 dev br0
/opt/etc/iproute2 # ip ro
...

Как то так но нужно проверить.

[aarnet]

3 часа назад, vasek00 сказал:

Балансир только на WAN порту, если у вас другие роутеры подключены по LAN к Keenetic и в нем подключен один WAN

нет, заведены как WAN, сейчас пока два WAN (будет 3 WAN) + DSL,  итого 4  

и Entware некуда ставить, один USB занят под модем Plus DSL...

 

Изменено 3 октября, 2020 пользователем aarnet

[vasek00]

1 час назад, aarnet сказал:

нет, заведены как WAN, сейчас пока два WAN (будет 3 WAN) + DSL,  итого 4

Если WAN то multipath.

попробовал multipath - так и не понял по какому принципу происходит балансинг....

Начните тогда с прочтения возможно найдете ответы на свои вопросы

 

 

[aarnet]

17 минут назад, vasek00 сказал:

Начните тогда с прочтения возможно найдете ответы на свои вопросы

читал естественно, но и там люди не понимают

какой balance mode используется в нашем случае ?

Скрытый текст

mode=0 (balance-rr)
Последовательно кидает пакеты, с первого по последний интерфейс.
mode=1 (active-backup)
Один из интерфейсов активен. Если активный интерфейс выходит из строя (link down и т.д.), другой интерфейс заменяет активный. Не требует дополнительной настройки коммутатора
mode=2 (balance-xor)
Передачи распределяются между интерфейсами на основе формулы ((MAC-адрес источника) XOR (MAC-адрес получателя)) % число интерфейсов. Один и тот же интерфейс работает с определённым получателем. Режим даёт балансировку нагрузки и отказоустойчивость.
mode=3 (broadcast)
Все пакеты на все интерфейсы
mode=4 (802.3ad)
Link Agregation — IEEE 802.3ad, требует от коммутатора настройки.
mode=5 (balance-tlb)
Входящие пакеты принимаются только активным сетевым интерфейсом, исходящий распределяется в зависимости от текущей загрузки каждого интерфейса. Не требует настройки коммутатора.
mode=6 (balance-alb)
Тоже самое что 5, только входящий трафик тоже распределяется между интерфейсами. Не требует настройки коммутатора, но интерфейсы должны уметь изменять MAC.

 

[vasek00]

4 минуты назад, aarnet сказал:

читал естественно, но и там люди не понимают

какой balance mode используется в нашем случае ?

О каком balance mode идет речь, речь идет о

Цитата

Это настройка делает ровно то, что указано в вашей команде - прописывает default route с nexthop.

Посмотреть это можно в таблице 42 (политики начинаются с номера 42): ip route show table 42 (или в ndmc cli: show ip route table 42, там вместо weight будут значения в metric). Но только приоритеты (weight) назначаются так: берется значение ip global (может быть в диапазоне от 1 до 65535), оно отображается в диапазон [1...253], и записывается в weight. То есть чтобы иметь одинаковый weight, нужно поставить руками ip global равным 32000 (например). Чем больше между ними разница - тем больше разница в weight. Ну и да, это для очень специфических случаев. Многие сайты, оперирующие сессиями и куками, начинают вести себя странно.

Основное применение - торренты и другая массивно-параллельная нагрузка. И еще - это только для транзитного трафика, который привязан к какой-либо политике. Для роутера создать mutlipath-профиль невозможно.

Тогда смотрим ip route для Unix

[Oleg Nekrylov]

14 часа назад, aarnet сказал:

насколько выходит ?

Пирометра под рукой не было, поэтому точных цифр не приведу, но руку держать на верхней крышке, в районе SFP, не сможете - обжигает, да и пластик начинает характерно прогибаться. Причем ситуация идентичная на обоих KN-1810 (куплены с разницей ~ в полгода, в разных городах, так что это "не брак одной партии"), в независимости от типа SFP

 

14 часа назад, aarnet сказал:

PS а синолоджи только 2 порта умеет балансировать ?

К сожалению только 2 (из web-морды), но я пробовал засунуть и 3-й, через ssh, но тогда в web-морду (на страницу Smart WAN) не зайти - сразу выбивает.

[Oleg Nekrylov]

2 часа назад, aarnet сказал:

в общем  сделать "красиво", как у того же Синолоджи, из web интерфейса пока не судьба.... ok - жаль

Думаю, если есть нужда в балансировке 3+ WAN, то я бы рассматривал устройства другого уровня, в конце-концов, можно посмотреть многопортовый ПК (формата Intel NUC) на али (ищите по ключевому слову pfsense) и собрать свой балансер, хоть на том же pfSense..или если сделать "по красоте": можно и Ideco UTM (для SMB он бесплатен) запихнуть. А IDECO SX+, вообще копия девайсов с али

Изменено 3 октября, 2020 пользователем Oleg Nekrylov

[aarnet]

3 часа назад, Oleg Nekrylov сказал:

Пирометра под рукой не было, поэтому точных цифр не приведу, но руку держать на верхней крышке, в районе SFP, не сможете - обжигает, да и пластик начинает характерно прогибаться. Причем ситуация идентичная на обоих KN-1810 (куплены с разницей ~ в полгода, в разных городах, так что это "не брак одной партии"), в независимости от типа SFP

ух как... мне сейчас проверить нет возможности, так как жду из РФ KN-1010, а из штатов SFP DSL, но если все так - то это по меньшей мере не безопасно - почему по этому поводу шум никто не поднимает ? а если никто не пользуется в кинетиках SFP, то зачем его вообще туда впихнули..

3 часа назад, Oleg Nekrylov сказал:

К сожалению только 2 (из web-морды), но я пробовал засунуть и 3-й, через ssh, но тогда в web-морду (на страницу Smart WAN) не зайти - сразу выбивает.

взять что ли ? за 160 usd счас есть возможность с доставкой...  вроде железо топовое, но дизайн ни фига не нравится... а куда весь остальной зоопарк девать ?

счас на один из free  WIFi прицепил RT-N-16 на OpenWrt - а его уже как wan в кинетик завел - и ничего ведь - крутится старичек, работает...
на втором free  WIFi висит MiNano на Padavan (уже на форке), и тоже как wan заведен в кинетик...

3 часа назад, Oleg Nekrylov сказал:

Думаю, если есть нужда в балансировке 3+ WAN, то я бы рассматривал устройства другого уровня, в конце-концов, можно посмотреть многопортовый ПК (формата Intel NUC) на али (ищите по ключевому слову pfsense) и собрать свой балансер, хоть на том же pfSense..или если сделать "по красоте": можно и Ideco UTM (для SMB он бесплатен) запихнуть. А IDECO SX+, вообще копия девайсов с али

у меня сейчас S200 как рабочая машинка на Xeone от EGLOBAL/HYSTOU/TOPTON, надо у них же посмотреть что то...

Изменено 3 октября, 2020 пользователем aarnet

[Oleg Nekrylov]

21 минуту назад, aarnet сказал:

взять что ли ? за 160 usd счас есть возможность с доставкой...  вроде железо топовое, но дизайн ни фига не нравится... а куда весь остальной зоопарк девать ?

Смысла нет: дизайн посредственный, с туннелями (в отличие от Keenetic) скудновато..., Safe Access/Threat Prevention сначала радовали, а сейчас вызывают лишь раздражение (и иногда злость), причем в Safe Access невозможно отключить фильтрацию для определенного хоста (даже если создать профиль без фильтров и  туда засунуть нужное устройство, все равно трафик фильтруется).

[aarnet]

1 час назад, Oleg Nekrylov сказал:

Смысла нет: дизайн посредственный, с туннелями (в отличие от Keenetic) скудновато...

вот и получается что при всем богатстве выбора, другой альтернативы нет (С)

[Le ecureuil]

В 03.10.2020 в 15:31, aarnet сказал:

в общем  сделать "красиво", как у того же Синолоджи, из web интерфейса пока не судьба.... ok - жаль

У С там L2-агрегация, у нас же L3+L4. Это совсем разные вещи, как это можно сравнивать-то?

[Oleg Nekrylov]

16 часов назад, Le ecureuil сказал:

У С там L2-агрегация, у нас же L3+L4. Это совсем разные вещи, как это можно сравнивать-то?

Вы ошибаетесь, нет там агрегации (L2), единственный интерфейс bond0 предназначен для агрегации LAN-портов, а не WAN

[r13]

18 минут назад, Oleg Nekrylov сказал:

Вы ошибаетесь, нет там агрегации (L2), единственный интерфейс bond0 предназначен для агрегации LAN-портов, а не WAN

Так это и есть l2 агрегация

[Oleg Nekrylov]

1 час назад, r13 сказал:

Так это и есть l2 агрегация

Вы не понимаете о чем говорите, интерфейс bond0 неактивен и не сконфигурирован и трафик на нем  RX/TX 0!!! У меня не используется агрегация LAN-портов!!! Или вы не видите разницу между LAN и WAN?

Судя по всему вы даже не понимаете об уровнях OSI: как вы на втором уровне собираетесь рулить пакетами (не кадрами) прилетающими с разных интерфейсов? L2 агрегация предполагает объединение портов в один, здесь же независимые WAN-порты, и весь трафик разруливается на L3/L4.

К сожалению прав нет, чтобы глубже залезть в SRM (в отличие от DSM, нет ни sudo, ни su - пока занимаюсь этим вопросом), но пока могу предположить, что они используют для этих целей ~teql, тк в балансировку (на странице Smart WAN, на скриншоте выше, вместо LAN1 возможно задать и PPPoE/LTE/VPN-туннели.... - это комбобокс) можно включить интерфейсы с разной топологией, а не только ethernet (bonding же предполагает агрегацию интерфейсов с одинаковой топологией) .

Изменено 10 октября, 2020 пользователем Oleg Nekrylov

[Le ecureuil]

teql это слишком грубо для Интернета, но текущий multipath возможно и правда нуждается в доработке. Надо посмотреть что там в новых версиях ядер сделали.

[natman]

Я правильно понимаю, что в текущий момент multiwan построен вокруг iproute2 и балансирует только пакеты? Если нужен conntrack, чтобы балансировать соединения, то придется выключить все ускорения NAT и только после этого добавить нужные правила в netfilter? И включен ли conntrack в ядре по умолчанию?

[Le ecureuil]

В 12.08.2021 в 15:22, natman сказал:

Я правильно понимаю, что в текущий момент multiwan построен вокруг iproute2 и балансирует только пакеты? Если нужен conntrack, чтобы балансировать соединения, то придется выключить все ускорения NAT и только после этого добавить нужные правила в netfilter? И включен ли conntrack в ядре по умолчанию?

Нет, везде балансировка по сессиям (и была всегда).