Load Balance + vpn

Обсуждение оборудования и его настройки
Ответить
Danil nv
Сообщения: 3
Зарегистрирован: 08 янв 2021, 13:48

Добрый день! Прошу подсказать решение проблемы.
Есть 2 провайдера, настроил разделение трафика 50/50, исходящий трафик разделяю с помощью pcc. Почти все работает, трафик делиться, пропускная способность канала увеличена... кроме openvpn. С клиентов просто не конектиться на внешние адреса.. при этом если отключить балансировку и пустить весь трафик через одного провайдера vpn работает. Куда копать?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Маркировать входящие соединения в ту таблицу, по которой они пришли.


Telegram: @thexvo
Danil nv
Сообщения: 3
Зарегистрирован: 08 янв 2021, 13:48

xvo писал(а): 08 янв 2021, 14:19 Маркировать входящие соединения в ту таблицу, по которой они пришли.
Вроде так и делаю. На данный момент у меня это выглядит так: если входящее соединение приходит через isp1, то оно маскируется isp1 и уходит через gw isp1. Тоже самое с isp2.
Возможно я что-то не до конца понимаю...


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

У вас ovpn сервер на самом микротике?
Тогда проверьте, что то, что вы выше описали касается не только того, что проходит через роутер (цепочка prerouting), но и того, что уходит с самого роутера (цепочка output).


Telegram: @thexvo
Danil nv
Сообщения: 3
Зарегистрирован: 08 янв 2021, 13:48

xvo писал(а): 08 янв 2021, 22:47 У вас ovpn сервер на самом микротике?
Тогда проверьте, что то, что вы выше описали касается не только того, что проходит через роутер (цепочка prerouting), но и того, что уходит с самого роутера (цепочка output).
В Mangle у меня 3 цепочки input,output,prerouting.
Примерно вот так я это настраивал:

Код: Выделить всё

# Настроим сети провайдеров:
/ip address add address=10.100.1.1/24 interface=ISP1
/ip address add address=10.200.1.1/24 interface=ISP2
# Настроим локальный интерфейс 
/ip address add address=10.1.1.1/24 interface=LAN
# скроем за NAT все что выходит из локальной сети
/ip firewall nat add src-address=10.1.1.0/24 action=masquerade chain=srcnat
#Пометим каждое соединение пришедшее снаружи и адресованное нашему роутеру:
/ip firewall mangle add action=mark-connection chain=input in-interface=ISP1 new-connection-mark=cin_ISP1
/ip firewall mangle add action=mark-connection chain=input in-interface=ISP2 new-connection-mark=cin_ISP2
#что бы отвечать через те же интерфейсы, откуда пришли запросы, поставим соответствующую роутинг-марку на каждое соединение.
/ip firewall mangle add action=mark-routing chain=output connection-mark=cin_ISP1 new-routing-mark=rout_ISP1 passthrough=no
/ip firewall mangle add action=mark-routing chain=output connection-mark=cin_ISP2 new-routing-mark=rout_ISP2 passthrough=no
#добавим default gateway в каждую из промаркированных таблиц маршрутизации:
/ip route add distance=1 gateway=10.100.1.254 routing-mark=rout_ISP1 check-gateway=ping
/ip route add distance=1 gateway=10.200.1.254 routing-mark=rout_ISP2 check-gateway=ping
#failover через второго провайдера для каждого из шлюзов
/ip route add distance=2 gateway=10.200.1.254 routing-mark=rout_ISP1 
/ip route add distance=2 gateway=10.100.1.254 routing-mark=rout_ISP2 
#используя PPC разделим трафик на две группы по исх. адресу и порту
/ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP1 per-connection-classifier=src-address-and-port:2/0
/ip firewall mangle add src-address=10.1.1.0/24 action=mark-routing chain=prerouting new-routing-mark=lan_out_ISP2 per-connection-classifier=src-address-and-port:2/1
#добавим default gateway в каждую из промаркированных для LAN трафика таблиц маршрутизации:
/ip route add distance=1 gateway=10.100.1.254 routing-mark=lan_out_ISP1 check-gateway=ping
/ip route add distance=1 gateway=10.200.1.254 routing-mark=lan_out_ISP2 check-gateway=ping
#failover через второго провайдера для каждого из шлюзов
/ip route add distance=2 gateway=10.200.1.254 routing-mark=lan_out_ISP1 
/ip route add distance=2 gateway=10.100.1.254 routing-mark=lan_out_ISP2 


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Что-то пока не вижу, в чем может быть проблема.


Telegram: @thexvo
Ответить