Bilanciamento PCC - esperienze

da **wmupilo** » sab 14 mar 2015, 20:57

Salve,
per studio (su una rb750) ho seguito la guida pubblicata da figheras e per prova l'ho estesa a 4 wan...
Tutto funziona bene (su circa 30 utenti in pppoe) ma ho un dubbio:
Alcuni siti (relativi a scommesse calcistiche ad esempio) non vogliono proprio aprirsi o all'inserimento delle credenziali non succede nulla (si ricarica la homepage del sito in questione).
Premetto che sono ai primi passi con firewall e mangle;
Leggendo un commento di qualche tempo fa e non volendo riesumare post vecchi:

devi discriminare le connessioni related/estabilisced lasciando le rotte in ingresso giuste,
"potresti" avere problemi di cambio rotta e siti tipo: banche, webmail ecc ti buttano fuori.

Volevo cercare di capire come "interpretare" questo suggerimento.
Non riesco proprio a "tradurlo" in un comando.
Non vorrei rubare una consulenza, ma mi blocco qui.
Potrei anche essere fuori strada.
Qualcuno sperimenta lo stesso "malfunzionamento"?

Rinnovo sempre i complimenti l'ottimo servizio offerto.

da **ppraz** » dom 15 mar 2015, 11:03

Personalmente usavo PCC basato per "source ip address", in questo modo l'utente Mario, identificato dall'IP 192.168.100.100 uscirà sempre e soltanto dalla linea numero 1, mentre Luigi, identificato dall'IP 192.168.100.101 uscirà sempre dalla 2
In questo modo il bilanciamento non è preciso, va a mediare su grosse moli di traffico, ma ti garantisce che quei siti funzionino

da **wmupilo** » dom 15 mar 2015, 15:19

Interessante;
credo di capire quindi che gli ip dovranno essere fissi per quei clienti che hanno "esigenze" particolari.
Grazie.
Provo.
Buona Domenica.

da **wmupilo** » mer 18 mar 2015, 17:45

Salve.
seguendo il consiglio (ma sto sbagliando qualcosa..), ho fatto i seguenti passi:
per specificare il cliente (pppoe):

Codice: Seleziona tutto: /ip firewall address-list add address=172.16.0.3 disabled=no list=clubamici

Per forzare l'uscita della lista su una specifica wan...

Codice: Seleziona tutto: /ip firewall mangle add action=mark-routing chain=prerouting comment="Sulla Wan2" dst-address-type=!local in-interface=Local new-routing-mark=toWan2 src-address-list=clubamici

il traffico su quel mangle è minimo ma non funziona...
se il traffico è "minimo" qualcosa sta funzionando..
il "toWan2" è lo stesso mark che uso nel bilanciamento delle mie 4 Wan
ho spostato in alto la regola in modo da essere gestita prima di altri Mark
Ma nel mio studio mi manca qualche nozione.
ovviamente qualcosa non va, o meglio.. forse sto "inventando" un mangle che non sta ne in cielo ne in terra...

Posso chiedere un piccolo esempio ?

da **pegaso_75** » lun 11 mag 2015, 21:14

Sei riuscito? È una cosa che interesserebbe pure me

Inviato dal mio iPad utilizzando Tapatalk

da **ppraz** » ven 15 mag 2015, 11:59

Ti posto uno snippet della configurazione che avevo io qualche tempo fa:

Codice: Seleziona tutto: /ip firewall mangle add action=mark-routing chain=prerouting comment="" disabled=no \ new-routing-mark=WEB passthrough=yes per-connection-classifier=\ src-address:2/0 src-address=10.0.0.0/24 add action=mark-routing chain=prerouting comment="" disabled=no \ new-routing-mark=WEB2 passthrough=yes per-connection-classifier=\ src-address:2/1 src-address=10.0.0.0/24

Sto dividendo così gli utenti della subnet 10.0.0.0/24 in due gruppi, PCC0, mangle WEB e PCC1, mangle WEB2

Codice: Seleziona tutto: add comment=DEFAULTWEB disabled=no distance=1 dst-address=0.0.0.0/0 gateway=\ 192.168.1.1 routing-mark=WEB scope=30 target-scope=10 add comment=DEFAULTWEB2 disabled=no distance=1 dst-address=0.0.0.0/0 gateway=\ 192.168.100.1 routing-mark=WEB2 scope=30 target-scope=10

Così li faccio uscire da due gateway differenti
Poi ovviamente servirà la regola di "masquerade" generica

Codice: Seleziona tutto: /ip firewall nat add action=masquerade chain=srcnat disabled=no src-address=10.0.0.0/24

Spero di esserti stato utile

da **wmupilo** » sab 16 mag 2015, 18:02

Interessante la configurazione di ppraz. Proverò in laboratorio... Grazie!
Nel frattempo, "scopiazzando" e provando, ho messo insieme questo:

Codice: Seleziona tutto: / ip firewall mangle add chain=prerouting in-interface=04Wican connection-state=new protocol=tcp dst-port=443 action=mark-connection new-connection-mark=odd passthrough=yes comment="" disabled=no add chain=prerouting in-interface=04Wican connection-mark=odd protocol=tcp dst-port=443 action=mark-routing new-routing-mark=odd passthrough=no comment="" disabled=no

che risolve il mio problema.