Load balancing и VPN

mazzahaker · 04 окт 2018, 13:34

Коллеги, добрый день!
Прошерстил кучу статей и мануалов по этому поводу, однако, так и не могу понять, как обойти проблему.
Есть конфигурация микротика:

Код: Выделить всё

/ip address
add address=1.1.1.1/24 interface=ether1 comment="MTS"
add address=2.2.2.2/24 interface=ether2 comment="Avant"

add address=10.0.4.0/24 interface=ether4 comment="LAN"
add address=10.0.5.0/24 interface=ether4 comment="LAN"

/ip route
add check-gateway=ping distance=1 gateway=8.8.8.8 target-scope=30
add check-gateway=ping distance=2 gateway=8.8.4.4 target-scope=30
add check-gateway=ping distance=1 dst-address=8.8.8.8/32 gateway=х.х.х.х


/ip firewall nat
add action=masquerade chain=srcnat comment="MTS" out-interface=ether1
add action=masquerade chain=srcnat comment="Avant" out-interface=ether2

/ip firewall mangle
add action=mark-connection chain=input comment="MTS Input" in-interface=ether1 new-connection-mark="MTS Input"
add action=mark-connection chain=input comment="Avant Input" in-interface=ether2 new-connection-mark="Avant Input"

add action=mark-routing chain=output comment="MTS Output" connection-mark="Tars Input" new-routing-mark="Out MTS"
add action=mark-routing chain=output comment="Avant Output" connection-mark="Avant Input" new-routing-mark="Avant Telecom"

add action=mark-routing chain=prerouting comment="LAN load balancing 2-0" \
    dst-address-type=!local in-interface=ether3 new-routing-mark=\
    "Out MTS" passthrough=yes per-connection-classifier=\
    both-addresses-and-ports:2/0
add action=mark-routing chain=prerouting comment="LAN load balancing 2-1" \
    dst-address-type=!local in-interface=ether3 new-routing-mark=\
    "Avant Telecom" passthrough=yes per-connection-classifier=\
    both-addresses-and-ports:2/1

Разумеется, вместе с этим конфигом у меня и gateway прописаны корректно как для main, так и для помеченных маршрутов.
Все работает, кроме VPN. Прошу помощи - не понимаю в чем проблема. Вроде пакеты приходят и уходят через одного провайдера. Это не должно рушить VPN. Либо как исключить из балансинга VPN?

Спасибо!

P.S. Без балансинга у меня все круто работает на обоих провайдерах. И отказоустойчивость тоже :)
P.P.S. VPN у меня сделан на OVPN

mazzahaker · 05 окт 2018, 09:47

Попытался отдельно помечать SRS адрес либо сам интерфейс ovpn дополнительными входящими mark и исходящими в соответствии с провайдером, исключая их из PCC, но все равно не хочет работать...
Быть может по другим критериям стоит отсекать?
При этом видно, что по указанным правилам пакеты маркируются - счетчики идут.

Sertik · 05 окт 2018, 12:04

У меня аналогичная проблема. При DUAL WAN с меченными маршрутами и манглами VPN работают только по главным не меченным маршрутам. По меченным никак не хотят.
Как только включаю меченные маршруты - все работает, а VPN все разных типов сразу отваливаются. Переключаю обратно - тут же поднимаются.

Может найдутся гуру, которые ткнут пальцем и объяснят, какие нужны дополнительные манглы чтобы VPN тоже работали.

algerka · 05 окт 2018, 19:58

Sertik писал(а): ↑05 окт 2018, 12:04 Может найдутся гуру, которые ткнут пальцем и объяснят, какие нужны дополнительные манглы чтобы VPN тоже работали.

https://www.vasilevkirill.com/MikroTik/1/
http://papa-admin.ru/mikrotik/129-mikro ... D0%BB.html
читали ?

Sertik · 06 окт 2018, 16:53

У Васильева читал, делал по инструкции - ни фига не работало, может ошибся где.
А вот за вторую ссылку большое спасибо, попробую разобраться. Так я и знал, что правил не хватало.

Sertik · 29 окт 2018, 17:00

Прочитал и то, что указали, но простите за тупость - так и не понял !

Я настраиваю роутер, являющийся VPN-клиентом. У него два WAN. Так вот, вопросы - нужно ли отдельно прописывать какие-то манглы для VPN-трафика чтобы просто работал скажем pptp-клиент ?
У меня вроде все работает, но как только я включаю манглы резервирования и маршруты через маркированные таблицы - VPN-клиент отваливается !
Нужно ли ограничивать маркированные маршруты своими таблицами типа:

/ip route rule add action lookup-only in-table бла бла .... метка , таблица ? (для каждого WAN).

Ни х не понятно ... Во всех инструкциях все колбасят по разному, объяснения такие, что новичку .... не разобраться никогда.
Памятник бы поставил при жизни человеку, который бы не пожадничал и выложил бы инструкцию нормальную и СОВРЕМЕННУЮ с подробными комментариями как сделать резервирование и балансировку на двух Ван, так чтобы роутер поддерживал при этом все соединения и отдельно бы прокомментировал как заворачивать то или другое куда нужно !
Понимаю, что это самый хлеб для профи, поэтому они и не колятся до конца ... Памятник понятно никому при жизни не нужен ...
Ну так в свою очередь обещаю помогать этому челу чем смогу ... Может и пригожусь ...

Если нужно выложу VPN, маршруты, нат и манглы своей настройки ...

30 окт 2018, 03:31

. Вроде пакеты приходят и уходят через одного провайдера.

Не верное утверждение

Код: Выделить всё

add action=mark-routing chain=prerouting comment="LAN load balancing 2-0" \
    connection-mark=no-mark in-interface=ether3 new-routing-mark="Out MTS" \
    passthrough=yes per-connection-classifier=both-addresses-and-ports:2/0
add action=mark-routing chain=prerouting comment="LAN load balancing 2-1" \
    connection-mark=no-mark in-interface=ether3 new-routing-mark=\
    "Avant Telecom" passthrough=yes per-connection-classifier=\
    both-addresses-and-ports:2/1

ПыСы: Писал спросони и не до конца в конфиг вник. Видимо ТС имел в виду что у него трафик внутри ВПН не ходит. Соответственно в PCC достаточно исключения добавить и будет работать

Sertik · 30 окт 2018, 10:44

Подскажите, что тут неправильно ? Почему VPN не хочет работать через меченные маршруты ?

/ip route
add distance=1 gateway=192.168.88.1 routing-mark=wan1-out-route
add distance=2 gateway=192.168.90.1 routing-mark=wan1-out-route
add distance=1 gateway=192.168.90.1 routing-mark=wan2-out-route
add distance=2 gateway=192.168.88.1 routing-mark=wan2-out-route
add distance=1 gateway=192.168.88.1
add distance=2 gateway=192.168.90.1
add check-gateway=ping comment="Root for PPTP VPN" distance=1 \
dst-address=192.168.0.0/24 gateway=10.10.15.1 scope=255
add check-gateway=ping comment="Root for PPTP VPN" distance=1 \
dst-address=192.168.87.0/24 gateway=10.10.15.1 scope=255
add check-gateway=ping comment="Root for PPTP VPN" distance=1 \
dst-address=192.168.88.0/24 gateway=10.10.15.1 scope=255

/ip firewall mangle
add action=mark-connection chain=prerouting dst-address-type=!local \
in-interface=ether2-master new-connection-mark=wan1-conn passthrough=yes \
per-connection-classifier=both-addresses:2/0
add action=mark-connection chain=prerouting dst-address-type=!local \
in-interface=ether2-master new-connection-mark=wan2-conn passthrough=yes \
per-connection-classifier=both-addresses:2/1
add action=mark-routing chain=prerouting connection-mark=wan1-conn \
dst-address-type=!local new-routing-mark=wan1-route passthrough=no
add action=mark-routing chain=prerouting connection-mark=wan2-conn \
dst-address-type=!local new-routing-mark=wan2-route passthrough=no
add action=mark-connection chain=prerouting connection-state=new \
in-interface=ether1 new-connection-mark=wan1-conn passthrough=yes
add action=mark-connection chain=prerouting connection-state=new \
in-interface=ether5 new-connection-mark=wan2-conn passthrough=yes
add action=mark-routing chain=output connection-mark=wan1-conn \
new-routing-mark=wan1-out-route passthrough=no
add action=mark-routing chain=output connection-mark=wan2-conn \
new-routing-mark=wan2-out-route passthrough=no

/ip firewall nat
add action=src-nat chain=srcnat dst-address=192.168.88.0/24 out-interface=\
ether1 to-addresses=192.168.88.13
add action=src-nat chain=srcnat dst-address=192.168.90.0/24 out-interface=\
ether5 to-addresses=192.168.90.2

30 окт 2018, 11:21

Он и не будет работать ровно как и проброс портов. Ответ на ваш вопрос есть в этой ветке

Sertik · 30 окт 2018, 19:33

В смысле ? Вообще не возможно сделать так, чтобы при балансировке работал VPN ?
Где есть ответ ?

Load balancing и VPN

Вход • Регистрация