Menú principal
Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Menú Mostrar Mensajes

Mensajes - antonel

#1
Firewall & NAT / pcc + vlan
Noviembre 23, 2014, 02:53:07 AM
hola! soy un usuario nuevo en busca de ayuda jeje que innovador no?
Voy a plantear el escenario general, luego vendran los scripts con mis config particulares.
3 wan(2 pppoe de 30mb c/u y 1 simetrica de 1mb, todas del mismo proveedor, las pppoe funcionan en modo bridge es decir las interfaces tienen ip dinámica)
5 vlan(actualmente solo estan en funcionamiento 2, pero todas estan creadas)
Necesito hacer un balanceo, luego de mucho leer y leer y leer, en ingles castellano etc, me decidi por hacerlo con el metodo PCC.
lo que hay que lograr es que la vlan pongamos 1 salga pura y exclusivamente por la wan simetrica, y las otras 4 salgan balanceadas por los pppoe, con redundancia y failover en todos los casos.
Mi problema es que logro hacerlo, siguiendo guias y wikis, pero nunca de manera 100% efectiva. a que me refiero? cuando miro el trafico de las interfaces, de momentos es relativamente parejo(nunca al 100%) pero por ejemplo en otros momentos no funciona directamente, cada taaaanto pasa un paquete por la wan que queda "inactiva" pero nada mas, y tengo trafico de varios megas en la otra. es decir, el balanceo funciona pero luego de xxx situacion que no entiendo deja de hacerlo, y cuando funciona tampoco es perfecto, siempre esta disparejo y manda bastante mas por una wan que por otra.
probe muchisimas variantes de los scripts y ordenes y configuraciones pero algo se me esta escapando y si alguien puede hecharme una luz sera eternamente agradecido.
a continuacion cada una de mis configs, si necesitan algo mas, me avisan!
ip/route
0 A S  dst-address=0.0.0.0/0 gateway=181.15.185.129
       gateway-status=181.15.185.129 reachable via  wan1-eth8
       check-gateway=ping distance=1 scope=30 target-scope=10      
       routing-mark=tosim

1   S  dst-address=0.0.0.0/0 gateway=10mb gateway-status=10mb reachable
       check-gateway=ping distance=2 scope=30 target-scope=10    
       routing-mark=tosim

2   S  dst-address=0.0.0.0/0 gateway=30mb gateway-status=30mb reachable  
       check-gateway=ping distance=2 scope=30 target-scope=10
       routing-mark=tosim

3 A S  dst-address=0.0.0.0/0 gateway=10mb gateway-status=10mb reachable
       check-gateway=ping distance=1 scope=30 target-scope=10
       routing-mark=to10

4   S  dst-address=0.0.0.0/0 gateway=30mb gateway-status=30mb reachable
       check-gateway=ping distance=2 scope=30 target-scope=10
       routing-mark=to10

5   S  dst-address=0.0.0.0/0 gateway=181.15.185.129
       gateway-status=181.15.185.129 reachable via  wan1-eth8
       check-gateway=ping distance=3 scope=30 target-scope=10
       routing-mark=to10

6 A S  dst-address=0.0.0.0/0 gateway=30mb gateway-status=30mb reachable
       check-gateway=ping distance=1 scope=30 target-scope=10
       routing-mark=to30

7   S  dst-address=0.0.0.0/0 gateway=10mb gateway-status=10mb reachable
       check-gateway=ping distance=2 scope=30 target-scope=10
       routing-mark=to30

8   S  dst-address=0.0.0.0/0 gateway=181.15.185.129
       gateway-status=181.15.185.129 reachable via  wan1-eth8
       check-gateway=ping distance=3 scope=30 target-scope=10
       routing-mark=to30

9 A S  dst-address=0.0.0.0/0 gateway=10mb gateway-status=10mb reachable
       check-gateway=ping distance=1 scope=30 target-scope=10

10   S  dst-address=0.0.0.0/0 gateway=30mb gateway-status=30mb reachable
       check-gateway=ping distance=2 scope=30 target-scope=10  

11   S  dst-address=0.0.0.0/0 gateway=181.15.185.129  
       gateway-status=181.15.185.129 reachable via  wan1-eth8  
       check-gateway=ping distance=2 scope=30 target-scope=10  

ip/firewall/mangle
0   chain=prerouting action=mark-connection new-connection-mark=SER
    passthrough=yes connection-state=new src-address=192.168.1.0/24
    dst-address-type=!local

1   chain=prerouting action=mark-routing new-routing-mark=tosim passthrough=yes
    dst-address-type=!local connection-mark=SER

2   chain=prerouting action=accept dst-address-type=local in-interface=all-vlan

3   chain=prerouting action=accept src-address-list=pcc dst-address-list=!pcc

4   chain=input action=mark-connection new-connection-mark=10mb passthrough=yes
    connection-state=new in-interface=10mb

5   chain=input action=mark-connection new-connection-mark=30mb passthrough=yes
    connection-state=new in-interface=30mb

6   chain=input action=mark-connection new-connection-mark=SER passthrough=yes
    connection-state=new in-interface=wan1-eth8

7   chain=output action=mark-routing new-routing-mark=to10 passthrough=no
    connection-mark=10mb

8   chain=output action=mark-routing new-routing-mark=to30 passthrough=no
    connection-mark=30mb

9   chain=output action=mark-routing new-routing-mark=tosim passthrough=no
    connection-mark=SER

10   chain=forward action=mark-connection new-connection-mark=30mb passthrough=ye>
    connection-state=new dst-address-type=!local src-address-list=pcc
    per-connection-classifier=both-addresses-and-ports:2/0

11   chain=forward action=mark-connection new-connection-mark=10mb passthrough=ye>
    connection-state=new dst-address-type=!local src-address-list=pcc
    per-connection-classifier=both-addresses-and-ports:2/1

12   chain=output action=mark-routing new-routing-mark=to10 passthrough=yes
    dst-address-type="" connection-mark=10mb

13   chain=output action=mark-routing new-routing-mark=to30 passthrough=yes
    dst-address-type="" connection-mark=30mb


ip/firewall/filter
 chain=forward action=add-src-to-address-list src-address=192.168.3.0/24
    address-list=pcc address-list-timeout=0s

 chain=forward action=add-src-to-address-list src-address=192.168.4.0/24
    address-list=pcc address-list-timeout=0s


ip/firewall/nat
0   chain=srcnat action=masquerade out-interface=10mb

1   chain=srcnat action=masquerade out-interface=30mb

2   chain=srcnat action=masquerade out-interface=wan1-eth8


PD:Muchas gracias de antemano!