[Inclusão Digital] Quase Desistindo

Eder Zagui ederzagui em ibl.com.br
Quarta Agosto 18 14:27:06 BRT 2010 

Alex obrigado pela ajuda mas devo estar pecando em alguma coisa pois ainda não deu certo.

 

Fiz exatamente do jeito que explica no link indicado, obviamente mudei os nomes das interfaces e ips para adequar à minha realidade.

 

Só não coloquei as informações em azul pois achei que era algo alternativo e com redundância nas rotas:

 

Ainda é possível fazer com que o próprio Mikrotik ROS disque as conexões do tipo ADSL aumentando a eficiência do sistema (MODENS EM BRIDGE), sendo que neste caso é recomendado fazer o mascaramento por range de ips e não por interface e a indicação dos gateways por interface e não por ip, no caso de links dedicados é recomendável fazer a indicação do ip do gateway e não da interface.

 

Em nat

add action=masquerade chain=srcnat src-address=10.0.0.0/24 comment="MASCARAMENTO PCC" disabled=no

 

Em rotas

add comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=EthLinkA scope=30 target-scope=10

add comment="" disabled=no distance=3 dst-address=0.0.0.0/0 gateway=EthLinkB scope=30 target-scope=10

add comment="" disabled=no distance=4 dst-address=0.0.0.0/0 gateway=EthLinkC scope=30 target-scope=10

add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=EthLinkA routing-mark=to_nra

add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=EthLinkB routing-mark=to_nrb

add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=EthLinkC routing-mark=to_nrc

 

Também coloquei criei duas address list com nome sem_balance colocando em cada uma os dois /24 que tenho aqui e que “servem” os clientes

 

O resultado foi o seguinte: o link A esta sendo 100% utilizado e o link B não desce nada mas observo um pequeno upload por ele (100kbps)

 

Apenas para informar meu linkA é 1 link FULL (dedicado) e o linkB é um link alternativo e paleativo de 2Megas para quebrar um galho até chegar minha fibra de 20 Megas. Como o linkB é autenticado por pppoe “crava” somente um ip

 

Será que o problema pode estar ai ? Por estar autenticando PPPOE no Mkt ?

 

Outra coisa: mesmo o linkA estar sendo 100% utilizado, alguns sites entram e outros não. Por exemplo acesso o UOL, meuip, etc mas não acesso rjnet, terra, etc

 

As regras que usei são exatamente estas abaixo em vermelho:

 

/ip firewall mangle

add action=accept chain=prerouting comment="SEM BALANCE" disabled=yes dst-address-list=sem_balance in-interface=lan

add action=mark-connection chain=input comment="" connection-state=new disabled=yes in-interface=wan1 new-connection-mark=conn_na passthrough=yes

add action=mark-connection chain=input comment="" connection-state=new disabled=yes in-interface=wan2 new-connection-mark=conn_nb passthrough=yes

add action=mark-routing chain=output comment="" connection-mark=conn_na disabled=yes new-routing-mark=to_ra passthrough=no

add action=mark-routing chain=output comment="" connection-mark=conn_nb disabled=yes new-routing-mark=to_rb passthrough=no

add action=mark-connection chain=prerouting comment="" disabled=yes dst-address-type=!local in-interface=lan new-connection-mark=conn_ma0 passthrough=yes per-connection-classifier=both-addresses:4/0

add action=mark-connection chain=prerouting comment="" disabled=yes dst-address-type=!local in-interface=lan new-connection-mark=conn_ma0 passthrough=yes per-connection-classifier=both-addresses:4/1

add action=mark-connection chain=prerouting comment="" disabled=yes dst-address-type=!local in-interface=lan new-connection-mark=conn_ma0 passthrough=yes per-connection-classifier=both-addresses:4/2

add action=mark-connection chain=prerouting comment="" disabled=yes dst-address-type=!local in-interface=lan new-connection-mark=conn_mb1 passthrough=yes per-connection-classifier=both-addresses:4/3

add action=mark-routing chain=prerouting comment="" connection-mark=conn_ma0 disabled=yes in-interface=lan new-routing-mark=to_nra passthrough=no

add action=mark-routing chain=prerouting comment="" connection-mark=conn_mb1 disabled=yes in-interface=lan new-routing-mark=to_nrb passthrough=no

 

======================================================================

 

/ip firewall nat

add action=masquerade chain=srcnat comment="MASCARAMENTO PCC" disabled=yes out-interface=wan1

add action=masquerade chain=srcnat comment="" disabled=yes out-interface=wan2

 

======================================================================

 

/ip route

add comment="" disabled=yes distance=2 dst-address=0.0.0.0/0 gateway=187.8.199.177 scope=30 target-scope=10

add comment="" disabled=yes distance=3 dst-address=0.0.0.0/0 gateway=200.204.210.212 scope=30 target-scope=10

add comment="" disabled=yes distance=1 dst-address=0.0.0.0/0 gateway=187.8.199.177 routing-mark=to_nra scope=30 target-scope=10

add comment="" disabled=yes distance=1 dst-address=0.0.0.0/0 gateway=200.204.210.212 routing-mark=to_nrb scope=30 target-scope=10

 

======================================================================

 

Nas regras acima esta tudo disabled=Yes apenas para inserir no sistema. Obviamente habilitei tudo na hora do teste

 

Eder

 

 

 

 

 

-----Mensagem original-----
De: inclusaodigital-bounces em anid.com.br [mailto:inclusaodigital-bounces em anid.com.br] Em nome de Alex Lacerda
Enviada em: terça-feira, 17 de agosto de 2010 21:15
Para: Associados da ANID
Assunto: Re: [Inclusão Digital]Desisto

 

Campeão tem esse aki tb:

http://under-linux.org/f227/pcc-balance-de-3-16-links-por-m4d3-131343/

 

eh similar ao outro documento... at++

 

Alex.

 

Em 17 de agosto de 2010 18:02, Eder Zagui <ederzagui em ibl.com.br> escreveu:

 

> Já tentei de tudo quanto é jeito balancear dois links no mikrotik versão

> 4.10 e não consigo

> 

> 

> 

> NTH, ECMP, etc

> 

> 

> 

> O ultimo que fiz foi seguindo exatamente as dicas abaixo e nada. Quando

> boto para rodar não sai quase nada pelo link 2 e o link 1 sai menos do que

> 30% do que sai sem as regras.

> 

> 

> 

> Alguém tem alguma receita do bolo?

> 

> 

> 

> Abaixo as regras que usei (obviamente os exemplo é exatamente como

> encontrei na internet e adaptei para meus ips):

> 

> 

> 

> Cenário:

> 

> LAN: 192.168.0.1/24

> WAN1: 172.16.10.10/32 – Link Embratel 2Mb

> WAN2: 172.16.20.10/32 – Link OI 2Mb

> 

> IPS Mikrotik:

> LAN: 192.168.0.1

> WAN1:172.16.10.1

> WAN2:172.16.20.1

> 

> IPS Routers:

> WAN1: 172.16.10.10

> WAN2:172.16.20.10

> 

> Regras para os impacientes:

> 

> /ip address

> add address=192.168.0.1/24 broadcast=192.168.0.255 comment=”LAN”

> disabled=no \

> interface=ether2 network=192.168.0.0

> add address=172.16.10.1/24 broadcast=172.16.10.255 comment=”WAN1″

> disabled=no \

> interface=ether3 network=172.16.10.0

> add address=172.16.20.1/24 broadcast=172.16.20.255 comment=”WAN2″

> disabled=no \

> interface=ether1 network=172.16.20.0

> 

> / ip route

> add dst-address=0.0.0.0/0 gateway=172.16.10.10,172.16.20.10

> check-gateway=ping

> 

> / ip firewall nat

> add chain=srcnat out-interface=WAN1 action=masquerade

> add chain=srcnat out-interface=WAN2 action=masquerade

> 

> / ip firewall mangle

> add chain=input in-interface=WAN1 action=mark-connection

> new-connection-mark=wan1_conn

> add chain=input in-interface=WAN2 action=mark-connection

> new-connection-mark=wan2_conn

> add chain=output connection-mark=wan1_conn action=mark-routing

> new-routing-mark=to_wan1

> add chain=output connection-mark=wan2_conn action=mark-routing

> new-routing-mark=to_wan2

> 

> / ip route

> add dst-address=0.0.0.0/0 gateway=172,16.10.10 routing-mark=to_wan1

> add dst-address=0.0.0.0/0 gateway=172.16.20.10 routing-mark=to_wan2

> 

> Explicação:

> 

> -IP Address:

> 

> /ip address

> add address=192.168.0.1/24 broadcast=192.168.0.255 comment=”LAN”

> disabled=no \

> interface=ether2 network=192.168.0.0

> add address=172.16.10.10/24 broadcast=172.16.10.255 comment=”WAN1″

> disabled=no \

> interface=ether3 network=172.16.10.0

> add address=172.16.20.10/24 broadcast=172.16.20.255 comment=”WAN2″

> disabled=no \

> interface=ether1 network=172.16.20.0

> 

> Neste trecho definimos os ips da interface local LAN (192.168.0.1/24) e os

> ips das interfaces externas WAN(172.16.10.1/24 e 172.16.20.1/24), claro,

> ips inválidos, adeque a sua necessidade!

> 

> -Routing:

> 

> / ip route

> add dst-address=0.0.0.0/0 gateway=172.16.10.10,172.16.20.10

> check-gateway=ping

> 

> Aqui criamos uma rota tipica de ECMP (Equal Cost Multi-Path), com

> check-gateway. Por definição o ECMP é persistente por conexão, ou seja, se

> um cliente estabelece conexão pelo gateway 172.16.10.10, ele irá utilizar

> somente este gateway durante ESTA conexão. Assim que um dos links cair o

> check-gateway irá remove-lo da lista de gateway, com isso você terá um

> efeito failover de brinde.

> 

> você pode utilizar também links assimétricos, por exemplo, digamos que o

> link da OI seja de 4Mb e o da Embratel de 8Mb, sendo o da Embratel o dobro

> do link da OI, você pode fazer a rota da seguinte forma para não subutilizar

> um dos links:

> 

> / ip route

> add dst-address=0.0.0.0/0 gateway=172.16.20.10,172.16.10.10,172.16.10.10

> check-gateway=ping

> 

> -NAT:

> 

> / ip firewall nat

> add chain=srcnat out-interface=wan1 action=masquerade

> add chain=srcnat out-interface=wan2 action=masquerade

> 

> Como as rotas já foram decididas, só precisamos das regras para corrigir o

> src-address para os pacotes de saída, Se o pacote sair pela WAN1 será

> “NATeado” para 172.16.10.10/24, caso contrário será para 172.16.20.10/24.

> 

> -Conexões Entrantes:

> 

> / ip firewall mangle

> add chain=input in-interface=WAN1 action=mark-connection

> new-connection-mark=wan1_conn

> add chain=input in-interface=wlan2 action=mark-connection

> new-connection-mark=wan2_conn

> add chain=output connection-mark=wan1_conn action=mark-routing

> new-routing-mark=to_wan1

> add chain=output connection-mark=wan1_conn action=mark-routing

> new-routing-mark=to_wan2

> 

> / ip route

> add dst-address=0.0.0.0/0 gateway=172.16.10.10 routing-mark=to_wan1

> add dst-address=0.0.0.0/0 gateway=172.16.20.10 routing-mark=to_wan2

> 

> Imagine um pacote INPUT vindo pelo link da Oi e retornando pelo link da

> Embratel, com ip diferente não vai dar, para evitar isso, vamos avisar ao

> mikrotik que o pacote que for recebido pelo link1 deve ser retornado pelo

> mesmo link.

> 

> 

> 

> _______________________________________________

> Inclusaodigital mailing list

> Inclusaodigital em anid.com.br

> http://anid.com.br/mailman/listinfo/inclusaodigital

_______________________________________________

Inclusaodigital mailing list

Inclusaodigital em anid.com.br

http://anid.com.br/mailman/listinfo/inclusaodigital

Mais detalhes sobre a lista de discussão Inclusaodigital