Indice   FAQ  
Iscriviti  Login
Indice RouterOS RouterOS

Nat su 2 Wan in load balancing

Tutto su questo sistema operativo linux based - Configurazioni, dubbi, problematiche &....

Nat su 2 Wan in load balancing

Messaggioda Nanotek » lun 29 apr 2019, 16:16

Ho impostato un load balancing su 2 WAN connesse ai rispettivi modem/router fibra.
Wan 1 : 192.168.10.2
Wan 2 : 192.168.20.2

Il load balancing funziona ma il NAT funziona solo se disabilito una delle due interfacce. Altrimenti un po' funziona un po' no.. ma con le due WAN abilitate è lentissimo.
Il nat serve per un webserver che ha IP 192.168.1.200, risponde sulla porta interna 443 (https). All'esterno è mappato sulla porta 35000 del modem Wan 1.

Impostazioni Mangle
Codice: Seleziona tutto
Flags: X - disabled, I - invalid, D - dynamic
0  D ;;; special dummy rule to show fasttrack counters
      chain=prerouting action=passthrough

1  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough

2  D ;;; special dummy rule to show fasttrack counters
      chain=postrouting action=passthrough

3    ;;; Accept da WAN1
      chain=prerouting action=accept dst-address=192.168.178.0/24 log=no
      log-prefix=""

4    ;;; Accept da WAN2
      chain=prerouting action=accept dst-address=10.0.2.0/24

5    ;;; PCC stream WAN1
      chain=prerouting action=mark-connection new-connection-mark=WAN1
      passthrough=yes dst-address-type=!local connection-mark=no-mark
      in-interface=bridge per-connection-classifier=both-addresses:2/0

6    ;;; PCC stream WAN2
      chain=prerouting action=mark-connection new-connection-mark=WAN2
      passthrough=yes dst-address-type=!local connection-mark=no-mark
      in-interface=bridge per-connection-classifier=both-addresses:2/1

7    chain=prerouting action=mark-routing new-routing-mark=WAN1-mark
      passthrough=yes connection-mark=WAN1 in-interface=bridge

8    chain=prerouting action=mark-routing new-routing-mark=WAN2-mark
      passthrough=yes connection-mark=WAN2 in-interface=bridge

9    chain=output action=mark-routing new-routing-mark=WAN1-mark passthrough=ye>
      connection-mark=WAN1

10    chain=output action=mark-routing new-routing-mark=WAN2-mark passthrough=ye>
      connection-mark=WAN2

11    chain=prerouting action=mark-connection new-connection-mark=WAN1
      passthrough=yes connection-mark=no-mark in-interface=WAN1

12    chain=prerouting action=mark-connection new-connection-mark=WAN2
      passthrough=yes connection-mark=no-mark in-interface=WAN2

13    chain=forward action=mark-connection new-connection-mark=WAN1
      in-interface=WAN1

14    chain=forward action=mark-connection new-connection-mark=WAN2
      in-interface=WAN2


Impostazioni NAT
Codice: Seleziona tutto
Flags: X - disabled, I - invalid, D - dynamic
0    ;;; defconf: masquerade
      chain=srcnat action=masquerade out-interface-list=WAN
      ipsec-policy=out,none

2    chain=dstnat action=dst-nat to-addresses=192.168.1.200 to-ports=443
      protocol=tcp in-interface=WAN1 dst-port=35000

3    chain=dstnat action=dst-nat to-addresses=192.168.1.200 to-ports=443
      protocol=udp in-interface=WAN1 dst-port=35000 log=no log-prefix=""


Avete qualche idea sul perchè non funziona ?
Nanotek
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 11
Iscritto il: ven 30 giu 2017, 7:53
Uso routerOS dalla Versione: v6.x

Re: Nat su 2 Wan in load balancing

Messaggioda Nanotek » lun 29 apr 2019, 17:04

I filtri impostati sul firewall sono quelli di default:
Codice: Seleziona tutto
/ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
0  D ;;; special dummy rule to show fasttrack counters
      chain=forward action=passthrough

1    ;;; defconf: accept established,related,untracked
      chain=input action=accept connection-state=established,related,untracked

2    ;;; defconf: drop invalid
      chain=input action=drop connection-state=invalid

3    ;;; defconf: accept ICMP
      chain=input action=accept protocol=icmp

4    ;;; defconf: drop all not coming from LAN
      chain=input action=drop in-interface-list=!LAN

5    ;;; defconf: accept in ipsec policy
      chain=forward action=accept ipsec-policy=in,ipsec

6    ;;; defconf: accept out ipsec policy
      chain=forward action=accept ipsec-policy=out,ipsec

7    ;;; defconf: fasttrack
Nanotek
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 11
Iscritto il: ven 30 giu 2017, 7:53
Uso routerOS dalla Versione: v6.x

Re: Nat su 2 Wan in load balancing

Messaggioda ppraz » mar 30 apr 2019, 9:11

L'IP 192.168.1.200 non deve essere soggetto al PCC, ma deve SEMPRE uscire (in uscita, quindi la regola masquerade) dalla WAN 1.
Da come hai configurato tu il server è soggetto alla PCC alla stregua degli altri host in rete
ppraz
Staff rosIT
Staff rosIT
 
Messaggi: 842
Iscritto il: sab 12 mar 2011, 13:13
Uso routerOS dalla Versione: v3.x

Re: Nat su 2 Wan in load balancing

Messaggioda Nanotek » mar 30 apr 2019, 12:47

Quindi dovrei escludere ogni host che ha bisogno di comunicare con l'esterno ?

Dovrei aggiungere una condizione del tipo !192.168.1.200 per ogni host che deve comunicare con l'esterno su una porta mappata ?
Nanotek
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 11
Iscritto il: ven 30 giu 2017, 7:53
Uso routerOS dalla Versione: v6.x

Re: Nat su 2 Wan in load balancing

Messaggioda ppraz » mar 30 apr 2019, 13:42

Nella tabella NAT basta che metti la regola di src-nat SOLO per 192.168.1.200 PRIMA della regola generica
Poi a valle metti la regola generica che effettua il NAT (soggetto a PCC) per tutti gli altri host

Sì, devi escludere dalla NAT generica tutti quegli host che hanno bisogno di essere raggiunti dall'esterno
ppraz
Staff rosIT
Staff rosIT
 
Messaggi: 842
Iscritto il: sab 12 mar 2011, 13:13
Uso routerOS dalla Versione: v3.x

Re: Nat su 2 Wan in load balancing

Messaggioda Nanotek » mar 30 apr 2019, 18:02

Nelle regole nat ci sono olo 3 regole.
src-nat -> masquerade per tutta la lan
2 dst-nat -> per il server (tcp e udp)

Dovri mettere:
src-nat -> dal server
src-nat -> masquerade per tutta la lan

ho capito bene ?
Di solito usavo i dst-nat verso un target esterno.
Nanotek
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 11
Iscritto il: ven 30 giu 2017, 7:53
Uso routerOS dalla Versione: v6.x

Re: Nat su 2 Wan in load balancing

Messaggioda ppraz » mer 1 mag 2019, 8:38

Nanotek ha scritto:Nelle regole nat ci sono olo 3 regole.
src-nat -> masquerade per tutta la lan
2 dst-nat -> per il server (tcp e udp)

Dovri mettere:
src-nat -> dal server
src-nat -> masquerade per tutta la lan


Esatto
ppraz
Staff rosIT
Staff rosIT
 
Messaggi: 842
Iscritto il: sab 12 mar 2011, 13:13
Uso routerOS dalla Versione: v3.x

Re: Nat su 2 Wan in load balancing

Messaggioda Nanotek » gio 2 mag 2019, 8:42

Ho trovato. Bisogna disabilitare il fasttrack che da un po' è abilitato di default. Nessun libro e guida che ho letto riportava la cosa. Il fasttrack è una caratteristica recente.
Adesso funziona sia la navigazione sia il dsn-nat.
Nanotek
Mikrotik-User 10° Liv
Mikrotik-User 10° Liv
 
Messaggi: 11
Iscritto il: ven 30 giu 2017, 7:53
Uso routerOS dalla Versione: v6.x



Torna a RouterOS

Chi c’è in linea

Visitano il forum: Google [Bot] e 1 ospite