Default routing e mangle con fasttrack

[xilav]

Ciao a tutti, sono abbastanza nuovo per l'utilizzo di questo router e, nonostante abbia cercato in lungo ed in largo nei vari forums, non ho trovato nulla. Ho un 2011UiAS-2HnD che uso come router per due connessioni FTTC fastweb (una personale ed una installatami dalla ditta per lavoro a distanza). Quello che volevo ottenere è avere un set di porte che fanno NAT verso Intenet personale mentre l'altro set di porte verso quello di lavoro. La suddivisione sono riuscito a crearla creando dei bridge e delle VLAN, e questo sta funzionando correttamente (anche se molto probabilmente ho fatto qualche obbrobrio nella configurazione ). Questo è il mio export della parte di configurazione IP del mio router:

Codice: Seleziona tutto

/ip address
add address=192.168.0.1/24 comment="main network" interface=bridge-main \
    network=192.168.0.0
add address=192.168.3.2/24 comment="Public Network (WAN FastWeb Home)" \
    interface=ether5-gw-fastweb-home network=192.168.3.0
add address=192.168.4.2/24 comment="Public Network (WAN FastWeb Work)" \
    interface=ether4-gw-fastweb-work network=192.168.4.0
add address=192.168.1.1/26 comment="work network" interface=bridge-work \
    network=192.168.1.0
add address=192.168.1.65/26 comment="guest network" interface=bridge-guest \
    network=192.168.1.64

/ip firewall address-list
add address=0.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=172.16.0.0/12 comment=RFC6890 list=not_in_internet
add address=192.168.0.0/16 comment=RFC6890 list=not_in_internet
add address=10.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=169.254.0.0/16 comment=RFC6890 list=not_in_internet
add address=127.0.0.0/8 comment=RFC6890 list=not_in_internet
add address=224.0.0.0/4 comment=Multicast list=not_in_internet
add address=198.18.0.0/15 comment=RFC6890 list=not_in_internet
add address=192.0.0.0/24 comment=RFC6890 list=not_in_internet
add address=192.0.2.0/24 comment=RFC6890 list=not_in_internet
add address=198.51.100.0/24 comment=RFC6890 list=not_in_internet
add address=203.0.113.0/24 comment=RFC6890 list=not_in_internet
add address=100.64.0.0/10 comment=RFC6890 list=not_in_internet
add address=240.0.0.0/4 comment=RFC6890 list=not_in_internet
add address=192.88.99.0/24 comment="6to4 relay Anycast [RFC 3068]" list=\
    not_in_internet
add address=192.168.0.0/24 comment=\
    "Address allowed to establish connection to the router" list=\
    allowed_to_router
add address=192.168.1.64/26 list=guest_network
add address=192.168.0.55-192.168.0.69 list=iot_devices
add address=192.168.1.0/26 list=allowed_to_router

/ip firewall filter
add action=accept chain=input comment="default configuration" \
    connection-state=established,related
add action=accept chain=input src-address-list=allowed_to_router
add action=accept chain=input protocol=icmp
add action=drop chain=input
add action=accept chain=forward comment=\
    "Allow only OpenDNS and my DNS as DNS from Guest Network" dst-address=\
    aaa.aaa.aaa.aaa dst-port=53 protocol=udp src-address=192.168.1.64/26
add action=accept chain=forward dst-address=156.154.70.4 dst-port=53 \
    protocol=udp src-address=192.168.1.64/26
add action=accept chain=forward dst-address=156.154.71.4 dst-port=53 \
    protocol=udp src-address=192.168.1.64/26
add action=drop chain=forward dst-port=53 protocol=udp src-address=\
    192.168.1.64/26
add action=accept chain=forward dst-address=aaa.aaa.aaa.aaa dst-port=53 \
    protocol=tcp src-address=192.168.1.64/26
add action=accept chain=forward dst-address=156.154.70.4 dst-port=53 \
    protocol=tcp src-address=192.168.1.64/26
add action=accept chain=forward dst-address=156.154.71.4 dst-port=53 \
    protocol=tcp src-address=192.168.1.64/26
add action=drop chain=forward dst-port=53 protocol=tcp src-address=\
    192.168.1.64/26
add action=drop chain=forward comment="Drop invalid" connection-state=invalid \
    log=yes log-prefix=invalid
add action=drop chain=forward comment=\
    "Drop packets from guest lan that do not have guest lan IP" \
    dst-address-list=not_in_internet log=yes log-prefix=LANGUEST_!LANGUEST \
    src-address=192.168.1.64/26
add action=accept chain=forward comment=\
    "Guest Network has to go to forward, no fasttrack to manage queue" \
    connection-state=established,related src-address-list=guest_network
add action=accept chain=forward connection-state=established,related \
    dst-address-list=guest_network
add action=accept chain=forward comment=\
    "iot devices have to go to forward, no fasttrack to manage queue" \
    connection-state=established,related src-address-list=iot_devices
add action=accept chain=forward connection-state=established,related \
    dst-address-list=iot_devices
add action=fasttrack-connection chain=forward comment=FastTrack \
    connection-state=established,related
   
/ip firewall mangle
add action=mark-routing chain=prerouting comment=\
    "Mangle Main Addresses to route to Home Fastweb modem" dst-address-list=\
    !not_in_internet new-routing-mark=from-main passthrough=no src-address=\
    192.168.0.0/24
add action=mark-routing chain=prerouting comment=\
    "Mangle Work Addresses to route to work Fastweb modem" dst-address-list=\
    !not_in_internet new-routing-mark=from-work passthrough=no src-address=\
    192.168.1.0/26
add action=mark-routing chain=prerouting comment=\
    "Mangle GuestAddresses to route to Home Fastweb modem" new-routing-mark=\
    from-guest passthrough=no src-address=192.168.1.64/26
   
/ip firewall nat
add action=masquerade chain=srcnat comment="main network - routing " \
    out-interface=ether5-gw-fastweb-home src-address=192.168.0.0/24
add action=masquerade chain=srcnat comment=\
    "work network - routing fastweb work" out-interface=\
    ether4-gw-fastweb-work src-address=192.168.1.0/26
add action=masquerade chain=srcnat comment=\
    "guest network - routing fastweb home" out-interface=\
    ether5-gw-fastweb-home src-address=192.168.1.64/26
add action=dst-nat chain=dstnat comment="OpenVPN to TinkerBoard" dst-address=\
    192.168.3.2 dst-port=443 protocol=tcp to-addresses=192.168.0.22 to-ports=\
    443

/ip route
add distance=1 gateway=192.168.3.1 routing-mark=from-main
add distance=1 gateway=192.168.4.1 routing-mark=from-work
add distance=1 gateway=192.168.3.1 routing-mark=from-guest
add disabled=yes distance=2 gateway=192.168.3.1


Il problema nasce quando abilito la default route per permettere la mia routerboard di accedere ad Internet (ad es. per cercare aggiornamenti software). Non appena abilito la riga

Codice: Seleziona tutto

ip route add gateway=192.168.3.1

la connessione via reti main e guest continuano a funzionare a velocità piena (hanno lo stesso gw del default gw), mentre quella di lavoro scende molto sotto il Mbit, praticamente funziona solo il ping (le due connessioni hanno una velocità media rispettivamente di 170 e 80 Mbit/s). L'unico modo per poter mantenere attivo il default gw è disabilitare il fasttrack. Il problema è che non posso farlo perchè con fasttrack disabilitato non riesco a sfruttare al pieno la connessione da 170Mbit, in uqnato con le mie regole di firewall la CPU del router va subito al 100% dandomi un throughput massimo di 90-100Mbit a fronte dei 170 disponibili.
Volevo sapere se ho sbagliato qualcosa o se posso 'marcare' in qualche modo i pacchetti uscenti dal router in modo di poter permettergli l'accesso verso Internet.
In aggiunta volevo sapere secondo voi se il router che ho attualmente potrà gestire anche una connessione OpenFiber da 1Gbit (sono in sttesa dell'attivazione) oppure mi toccherà cambiarlo? Se dovrò cambiarlo mi servirà un modello senza WiFi poichè attualmente non lo sto più utilizzando in quanto ho montato un AP esterno, per cui su che modello mi dovrò orientare?
Grazie!

[abbio90]

Prova ad allegare un export della configurazione con pastebin...così vediamo meglio il dunque...la cosa del fastrack non è affatto chiara..inoltre non è chiaro come lavorano le Wan...se sono indipendenti, una VLAN esce con una piuttosto che con un.altra...con la configurazione completa è più semplice capire cosa hai fatto e cosa vorresti fare

[xilav]

Ciao,
ho messo in
https://pastebin.com/8DanTUcr
l'export del mio router.
Probabilmente ci sono ancora dei rimasugli di configurazione di quando avevo implementato OPenVPN nel router; adesso l'ho messo su di una tinkerboard.

Grazie!

[abbio90]

Sulla eth1 cosa c.e attaccato?pare un Trunk VLAN e direi configurata correttamente la porta...
Per il resto vedo un po' di cose strane...
La WAN lavoro e una 192.168.0/24
La guest (VLAN103) è una 192.168.0/26
La lan lavoro (VLAN102) è una 192.168.0.64/26

In sostanza hai la stessa subnet Wan lavoro che va in conflitto con la lan work e guest..
Quindi in primis cambierei queste subnet guest e lan lavoro con delle subnet diverse ( es. Guest 172.16.3.0/26 e lan lavoro 10.10.10.0/24) con relativo DHCP ecc ecc.
I bridge direi che sono corretti...
I mangle gli eliminerei...
Il firewall onestamente l.ho mollato.

Inoltre le queue vedo limitazioni su ip ad esempio 192.168.0.55,56,57,58,59,60,61,62 ecc non so se si corretto ma fanno parte della subnet lan lavoro..

[abbio90]

Una volta eseguito le modifiche consigliate io lavorerei così.
Cancelli le rotte create.. tutte..e crei queste

[abbio90]

Esempio
/ip route
add distance=1 gateway=192.168.3.1
add distance=1 gateway=192.168.1.1 routing mark=out-work

/ip route rule
add src-address=10.10.10.0/24 table=out-work

[xilav]

Ciao e grazie della risposta,
forse è meglio che provo a chiarire un po' di più la situazione attuale:
eth1 va ad uno switch Netgear che gestisce le VLAN in modo che in funzione della porta mi 'untagga' la rete che mi serve, in più va in trunk su di un AP Ubiquiti per rendere disponibile tramite tre SSID le tre reti LAN.

Ho tre LAN:
192.168.0.0/24 -> LAN casa
192.168.1.0/26 -> LAN lavoro
192.168.1.64/26 -> LAN guest
e due WAN (connessioni VDSL Fastweb, una privata ed una fornita dalla ditta per cui lavoro)
WAN1 (internet casa) 192.168.3.0/24 (192.168.3.1 router fastweb, 192.168.3.2 lato mikrotik)
WAN2 (Internet lavoro) 192.168.4.0/24 (192.168.4.1 router fastweb, 192.168.4.2 lato mikrotik)

per le porte eth:
eth1 - va allo switch che ti ho spiegato sopra.
eth4 - WAN lavoro
eth5 - WAN casa
eth6 - untagged LAN casa (cordless voip)
le altre porte sono disabilitate perchè non mi servono.

Le limitazioni tramite queue sono per la rete Guest (20/5Mbit) e per un set di dispositivi IoT sulla LAN di casa (hanno una DHCP reservation e li limito in funzione del loro IP address a 1/1Mbit). Adesso mentre sto scrivendo mi sa che la limitazione dei dispositivi IoT non funzionerà in quanto la LAN di casa va in fasttrack (EDIT - ho controllato e il range di IP va in forward nel firewall prima del fasttrack... è sera e sono un po' stanco....).

Ah, dimenticavo le LAN casa e guest le ho messe in masquerade sul GW Fastweb casa, mentre la LAN lavoro è in masquerade sul GW FastWeb lavoro. Per quello ho pensato di usare il mangle per poter avere routing diversi in funzione della LAN utilizzata.

[abbio90]

Subnet a parte...faccendo come ti dicevo puoi fare dei masquerade generici con solo out interface...zero mangle e lavori con la rule per dirgli che tutto esce con la Wan home tranne quello che specifichi nella rule ovvero la lan lavoro

[xilav]

Grazie!
Studio come funziona e provo stasera (devo aspettere che i figli terminino le lezioni online nonchè i film in streaming ) poi ti faccio sapere!

[xilav]

Ne ho approfittato che tutti erano a tavola e ho provato. Funziona benissimo! Grazie!
A questo punto mi domando perchè a fronte di una soluzione così semplice, se cerco nei vari forums trovo solo soluzioni che implicano l'utlizzo del mangle...