Mikrotik Dual-Wan με PCC --> πρόβλημα με VPN

[tsatasos]

Πειραματίζομαι με το dual-wan load balancing & failover σε mikrotik με pcc σύμφωνα με τον παρακάτω οδηγό:
http://wiki.mikrotik.com/wiki/Manual:PCC

Παίζει κανονικά, αλλά έχει πρόβλημα με τις vpn εισερχόμενες συνδέσεις.
Φτιάχνω δλδ pptp vpn, συνδέομαι απ'έξω στο εσωτερικό δίκτυο, αλλά δε μπορώ να δω καμία συσκευή του εσωτερικού δικτύου.

Με το που κάνω disable ότι έχω στο /ip firewall mangle βλέπω κανονικά τις συσκευές του δικτύου.
Οπότε για την ώρα το έχω αφήσει να παίζει μόνο σαν failover (distance=1 & distance=2).

Ο κώδικας που χρησιμοποιώ:

Κώδικας:

/ip firewall mangle
add chain=input in-interface=OtenetA action=mark-connection new-connection-mark=internet1_conn
add chain=input in-interface=OtenetB action=mark-connection new-connection-mark=internet2_conn

add chain=output connection-mark=internet1_conn action=mark-routing new-routing-mark=to_internet1
add chain=output connection-mark=internet2_conn action=mark-routing new-routing-mark=to_internet2

add chain=prerouting dst-address-type=!local in-interface=ether3-master per-connection-classifier=both-addresses:2/0 action=mark-connection new-connection-mark=internet1_conn passthrough=yes
add chain=prerouting dst-address-type=!local in-interface=ether3-master per-connection-classifier=both-addresses:2/1 action=mark-connection new-connection-mark=internet2_conn passthrough=yes

add chain=prerouting connection-mark=internet1_conn in-interface=ether3-master action=mark-routing new-routing-mark=to_internet1
add chain=prerouting connection-mark=internet2_conn in-interface=ether3-master action=mark-routing new-routing-mark=to_internet2

/ip route
add dst-address=0.0.0.0/0 gateway=OtenetA routing-mark=to_internet1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=OtenetB routing-mark=to_internet2 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=OtenetA distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=OtenetB distance=2 check-gateway=ping

/ip firewall nat
add chain=srcnat out-interface=OtenetA action=masquerade
add chain=srcnat out-interface=OtenetB action=masquerade

[xhaos]

Τάσο, ping και τέτοια κάνεις στις εσωτερικές ip;

[tsatasos]

Με τον παραπάνω κώδικα συνδέεται στο vpn, αλλά δεν έκανε τίποτα ping.
Για να παίξει χρειάζεται στην αρχή ένα accept rule την remote ip που έχω δώσει στον χρήστη.

Κώδικας:

add action=accept chain=prerouting dst-address=*remote ip*

[xhaos]

το vpn είναι σε διαφορετικό subnet λογικά. οπότε θέλει masquarade και nat. εγώ έκανα το pptp όπως λένε στο wiki καί παίζει κανονικά.

[tsiris]

Αν η remote ip είναι στο ίδιο subnet με το τοπικό σου δίκτυο, δημιούργησε ένα address list στο firewall που θα περιλαμβάνει όλο το τοπικό σου δίκτυο (πχ. 192.168.0.0/24) και κάνε accept rule στο mangle το address list (το accept rule να το βάλεις πρώτο στη λίστα των mangle rules).

[tsatasos]

Με το vpn όλα εντάξει, είναι αυτό που είπαμε ότι θέλει accept rule την remote ip που έχω δώσει στον vpn χρήστη ( ή όλο το subnet του εσωτερικού μας δικτύου για να μην ψαχνόμαστε).

Σήμερα το δοκίμασα με 2 γραμμές vdsl.

Όταν είχα bridge τα modem και τα pppoe γινόντουσαν στο rb δεν με άφηνε να κατεβάσω torrents.
Με το που έμπαινα torrentz.com έβγαζε μήνυμα λάθους ότι επειδή εντοπίστηκε load balancing δε μπορώ να συνεχίσω :P

Το ίδιο κ το jdownloader, έβγαζε σφάλμα κατευθείαν.

Οπότε σκέφτηκα να αφήσω τα modem/router να κάνουν pppoe για να τα ξεγελάσω.

Με τα torrents κομπλέ, αλλά το jdownloader συνέχιζε να βγάζει σφάλμα...

Καμία ιδέα?

[griniaris]

Εχεις μηπως χρονο να γραψεις πιο αναλυτικα την διαδικασια?

Για τουλαχιστον 2 ρουτερ παροχων που θα κανουν τα ιδια το pppoe .

[tsatasos]

Αν τα pppoe γίνονται από τα modem των παρόχων τότε χρησιμοποίησε τα παρακάτω:

Κώδικας:

/ip firewall mangle
add action=accept chain=prerouting dst-address=192.168.0.0/24

add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no dst-address-type=!local in-interface=ether3-lan-master new-connection-mark=ether1-wan1 passthrough=yes per-connection-classifier=src-address:2/0
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no dst-address-type=!local in-interface=ether3-lan-master new-connection-mark=ether2-wan2 passthrough=yes per-connection-classifier=src-address:2/1

add action=mark-routing chain=prerouting connection-mark=ether1-wan1 disabled=no in-interface=ether3-lan-master new-routing-mark=to_WAN1 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=ether2-wan2 disabled=no in-interface=ether3-lan-master new-routing-mark=to_WAN2 passthrough=yes

add action=mark-routing chain=output connection-mark=ether1-wan1 disabled=no new-routing-mark=to_WAN1 passthrough=yes
add action=mark-routing chain=output connection-mark=ether2-wan2 disabled=no new-routing-mark=to_WAN2 passthrough=yes

add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no in-interface=ether1 new-connection-mark=ether1-wan1 passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no in-interface=ether2 new-connection-mark=ether2-wan2 passthrough=yes

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=ether2 src-address=192.168.0.0/24

/ip route
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-mark=to_WAN1 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.2.1 routing-mark=to_WAN2 scope=30 target-scope=10
 
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=2 dst-address=0.0.0.0/0 gateway=192.168.2.1 scope=30 target-scope=10

Θεωρώ ότι:
modem1 = 192.168.1.1 --> ether1=192.168.1.2
modem2 = 192.168.2.1 --> ether2=192.168.2.2
Lan = 192.168.0.0/24 --> ether3-lan-master=192.168.0.1

Στα modem το dhcp είναι κλειστό.

Απλά αν τα pppoe γίνονται από τα modem των παρόχων δεν παίζει το failover.
Αν πέσει δλδ μία από τις δύο γραμμές, δεν γίνεται να το καταλάβει το mikortik.

[griniaris]

Αν τα pppoe γίνονται από τα modem των παρόχων τότε χρησιμοποίησε τα παρακάτω:

Κώδικας:

/ip firewall mangle
add action=accept chain=prerouting dst-address=192.168.0.0/24

add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no dst-address-type=!local in-interface=ether3-lan-master new-connection-mark=ether1-wan1 passthrough=yes per-connection-classifier=src-address:2/0
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no dst-address-type=!local in-interface=ether3-lan-master new-connection-mark=ether2-wan2 passthrough=yes per-connection-classifier=src-address:2/1

add action=mark-routing chain=prerouting connection-mark=ether1-wan1 disabled=no in-interface=ether3-lan-master new-routing-mark=to_WAN1 passthrough=yes
add action=mark-routing chain=prerouting connection-mark=ether2-wan2 disabled=no in-interface=ether3-lan-master new-routing-mark=to_WAN2 passthrough=yes

add action=mark-routing chain=output connection-mark=ether1-wan1 disabled=no new-routing-mark=to_WAN1 passthrough=yes
add action=mark-routing chain=output connection-mark=ether2-wan2 disabled=no new-routing-mark=to_WAN2 passthrough=yes

add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no in-interface=ether1 new-connection-mark=ether1-wan1 passthrough=yes
add action=mark-connection chain=prerouting connection-mark=no-mark disabled=no in-interface=ether2 new-connection-mark=ether2-wan2 passthrough=yes

/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 src-address=192.168.0.0/24
add action=masquerade chain=srcnat out-interface=ether2 src-address=192.168.0.0/24

/ip route
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-mark=to_WAN1 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.2.1 routing-mark=to_WAN2 scope=30 target-scope=10
 
add check-gateway=ping disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.1.1 scope=30 target-scope=10
add check-gateway=ping disabled=no distance=2 dst-address=0.0.0.0/0 gateway=192.168.2.1 scope=30 target-scope=10

Θεωρώ ότι:
modem1 = 192.168.1.1 --> ether1=192.168.1.2
modem2 = 192.168.2.1 --> ether2=192.168.2.2
Lan = 192.168.0.0/24 --> ether3-lan-master=192.168.0.1

Στα modem το dhcp είναι κλειστό.

Απλά αν τα pppoe γίνονται από τα modem των παρόχων δεν παίζει το failover.
Αν πέσει δλδ μία από τις δύο γραμμές, δεν γίνεται να το καταλάβει το mikortik.

Δεν μου δουλεψε... μηπως καποιο απο τα distance ειναι λαθος?

Αν κανω speedtest τοτε μονο η μια γραμμη τερματιζει. Αν κανω disable αυτο το if τοτε τερματιζει το αλλο.
Σαν failsafe συμπεριφερεται.

[tsatasos]

Αν κάνεις δοκιμή μόνο από 1 pc τότε λογικό.

Με το παρακάτω:
per-connection-classifier=src-address:2/0

Αν έχεις 10 pc τότε τα 5 θα βγουν από τη μία γραμμή και τα άλλα 5 από την άλλη.

Αν θες να έχεις μέγιστη ταχύτητα σε torrents κτλ. από 1 pc δοκίμασε dst address ή dst address and port.

Ενδέχεται όπως κάποια site με μέγιστη ασφάλεια (π.χ. τράπεζες) που κοιτάνε από ποια ip βγήκες, να σου πετάξουν σφάλμα.

[griniaris]

Το βρηκα το προβλημα. Μπερδευτηκα λιγο στο magle. ΝΑΤ και route σωστα τα εβαζα.
Επαιξε.... Επιτελους "αθροιζω" το bandwidth...
Σημαντικο...... εκανα σε ΟΛΑ ενα reboot για να παιξουν. Αλλιως εβγαινα μονο με την μια WAN.

Επισυναπτω τον κωδικα οπως τον εβαλα εγω. Για οποιον μπορει να ενδιαφερεται.

Επισης αν πεσει καποια WAN απο τις δυο συνεχιζει ακαθεκτο με την αλλη. (failsafe)

Κώδικας:

/ip firewall mangle
add chain=input in-interface=WAN1 action=mark-connection new-connection-mark=WAN1_conn
add chain=input in-interface=WAN2 action=mark-connection new-connection-mark=WAN2_conn

add chain=output connection-mark=WAN1_conn action=mark-routing new-routing-mark=to_WAN1
add chain=output connection-mark=WAN2_conn action=mark-routing new-routing-mark=to_WAN2

add chain=prerouting dst-address=192.168.1.0/24 action=accept in-interface=WAN-OUT
add chain=prerouting dst-address=192.168.2.0/24 action=accept in-interface=WAN-OUT

add chain=prerouting dst-address-type=!local in-interface=WAN-OUT per-connection-classifier=both-addresses-and-ports:2/0 action=mark-connection new-connection-mark=WAN1_conn passthrough=yes
add chain=prerouting dst-address-type=!local in-interface=WAN-OUT per-connection-classifier=both-addresses-and-ports:2/1 action=mark-connection new-connection-mark=WAN2_conn passthrough=yes

add chain=prerouting connection-mark=WAN1_conn in-interface=WAN-OUT action=mark-routing new-routing-mark=to_WAN1
add chain=prerouting connection-mark=WAN2_conn in-interface=WAN-OUT action=mark-routing new-routing-mark=to_WAN2

/ip route
add dst-address=0.0.0.0/0 gateway=192.168.1.1 routing-mark=to_WAN1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=192.168.2.1 routing-mark=to_WAN2 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=192.168.1.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=192.168.2.1 distance=2 check-gateway=ping

/ip firewall nat
add chain=srcnat out-interface=WAN1 action=masquerade
add chain=srcnat out-interface=WAN2 action=masquerade

WAN1 modem-router => 192.168.1.1/24 και στο μικροτικ => 192.168.1.2/24
WAN2 modem-router => 192.168.2.1/24 και στο μικροτικ => 192.168.2.2/24
WAN-OUT μικροτικ => 192.168.4.1/24 Απλα μετα εφτιαξα και ενα DHCP server σε αυτο το if.

και στα 2 Modem-router εκλεισα το dhcp καθως επισης και το nat.


@tsatasos ριξε μια ματια αν θες. σαν πιο εμπειρος που εισαι περιμενω σχολια.

[xhaos]

Μαρκάρει τις συνδέσεις (στα πακέτα δεν βλεπει τίποτα) και κανεις fail over αν πέσει η μια σύνδεση. Routing δεν βλέπω πουθενά ωστε να χρησιμοποιεί και τις δύο. Δηλαδη κανε disable ολο το mangle και θα είναι το ίδιο

- - - Updated - - -

Δες ενα config που μαλλον λειτουργεί
http://farolan.blogspot.gr/2009/03/h...os_14.html?m=1

[griniaris]

Καλημερα, ευχαριστω για το λινκ.

Μπορει να ειναι οπως τα λες... αλλα ηταν το μονο configuration που καταφερα να "προσθεσω" τις ταχυτητες. Αυτο στην ουσια ηταν το ζητουμενο.
Απο εκει και περα, ξεκουμπωνα χειροκινητα τις wan μια καθε φορα και συνεχιζε και επαιζε το ιντερνετ στο lan μου.

Θα διαβασω και αυτο που εστειλες για να δω τι λεει και πως το κανει.

[tsatasos]

@griniaris
Κομπλέ τα έφτιαξες!

@xhaos
Αν δεις μαρκάρει τις συνδέσεις κ μετα χρησιμοποιεί τα routing marks στο ip route. Έτσι το πετυχαίνει.

[quam]

WAN1 modem-router => 192.168.1.1/24 και στο μικροτικ => 192.168.1.2/24
WAN2 modem-router => 192.168.2.1/24 και στο μικροτικ => 192.168.2.2/24
WAN-OUT μικροτικ => 192.168.4.1/24 Απλα μετα εφτιαξα και ενα DHCP server σε αυτο το if.

και στα 2 Modem-router εκλεισα το dhcp καθως επισης και το nat.

Για πες πως γίνεται να έχεις παντού 192.168.χ.χ και να βγαίνεις από τα prov's router με pppoe και κλειστό nat.
Σου φέρνουν κάπως την public ip στο mikrotik ?