IPROUTE2 + 2 провайдера

[Enkil-404]

ну у меня пользователей как раз примерно столько=))

а так по сути вопроса - конфиг похож на рабочий(относительно моих задач), ошибки синтаксиса я не прошу проверять)))), имею ввиду общую картину.

ЗЫ для саморазвития - какие именно правки sysctl приводят к сжиранию большого объема памяти?

Спасибо за помощь!!

[badfiles]

PS: окуратно будте с "ip route del default" если команду выполнить из консоли. Сервер отвалится от инета. Обязательно нужно добавить вторую строку типа "ip route del default && ip route add default via $GW_INET1"  с нужным GW.  Разок наступил, пришлось проехать 240км. Локалка работает, инет нет.

Это фигня, я случано выполнил ip rule flush

[Enkil-404]

PS: окуратно будте с "ip route del default" если команду выполнить из консоли. Сервер отвалится от инета. Обязательно нужно добавить вторую строку типа "ip route del default && ip route add default via $GW_INET1"  с нужным GW.  Разок наступил, пришлось проехать 240км. Локалка работает, инет нет.

Это фигня, я случано выполнил ip rule flush

тоже 5 баллов
тоже как то удаленно выполнил iptables --flush, ступил и пришлось ехать далеко и исправлять

[badfiles]

Ну смех смехом, а смешного то мало. Я уже могу сказать точно, что пробовал ВСЁ. Не могу получить обратный пакет из любой не-main таблицы на исходный интерфейс НИКАК.
Каким образом это работает у вас? Какие есть вообще ограничения по ответным пакетам? На самом деле, гори оно огнем, эти 2 провайдера, я уже их обоих проклял.

[Enkil-404]

плохо.

я завтра выхожу с больничного и либо завтра же, либо в субботу проверю на практике свою реализацию - отпишусь. Может тогда станет проще

[badfiles]

На самом деле все еще сложнее. Дело в том, что мне удалось получить ответный пакет из не-main таблицы T#. НО с гейта, который default в main. Чтобы проверить, что маршрутизация идет не из главной таблицы, я в таблищу Т# добавил заведомо нерабочий маршрут на тестовую подсеть, и в таком виде ничего не работало, те я получал ответы из Т#.

Тогда я добавил еще один default gw в таблицу main второй пров заработал через свою Т#, но когда я попытался переключить метку, от первого прова я не смог получить ответный пакет.

Короче, меня уже посещает мысль о том, что это просто БАГ.

Это точно не iptables, потомучто там я меняю ТОЛЬКО метку.
Пользователь решил продолжить мысль 13 Ноября 2009, 02:12:28:Проверил у себя в локальной сети. Там сеть одна, но в ней 2 рабочих гейтвея, один смотрит прямо на сервер статистики, другой в интернет, в котором висит все тот же сервер статистики. В результате длина маршрута до одного и того же сервера разная. Как все уже догадались, переключая метку получаем две разных трассировки, те метод сам по себе рабочий вполне, через оба гейтвея прекрасно соединяется.

Линуксы дома и на работе стоят одинаковые. У кого какие мысли?

[Enkil-404]

приведи плз твои конфиги

[fhieos]

"Офисная сеть с 1-м анлим-каналом и 1-м резервным для выхода в Интернет, с доступом к внутренним ресурсам офиса из Интернет через любого из 2-х провайдеров"

Ubuntu 9.04
wan1 dhcp- Yota wimax0 (unlim)
wan2 static- Cable eth1 (дорогой помегабайтный)
lan static - офис

wan1 основной выход в инет, при падении интерфейса wimax0 офис переходит на дорогой резерв eth1 (работает by design)
балансировка нагрузки между wan1-2 не нужна

Сделано: все пакеты бегают в любые стороны,  Клиенты извне соединяются по обеим wan'ам как с самим рутером, так и с тачками внутри локалки.
Не сделано (сижу делаю): "dead gateway detection" для wimax0, ибо Yota любит не работать, делая вид, что все ок. Делаю dhclient-exit-hooks.d скрипт, чтобы создавал и удалял маршруты и цепочки iptables по поднятию и опусканию интерфейса.

1. Для работы сервисов *самого* шлюза по нескольким интерфейсам (провайдерам) нужны только доп. таблицы маршрутов
2. То же самое, если задачей шлюза является балансировка выхода в инет внутр.сети по %-му признаку (например 50-50%)
3. Для распределения нагрузки по признаку "порт назначения = конкретный канал" (например 80) нужно п.1 + только маркировка пакетов исходящих из локалки
4. Для работы с сервисами локалки (DMZ) по обеим линкам необходимо маркировать входящие пакеты, отключить на втором линке rp_filter, и восстанавливать маркировку после ответов сервисов DMZ.

[badfiles]

Мои конфиги ничем не отлияаются от приведенных здесь. Единственное, что я добавил в iptables, это правило, расставляющее метки перед выбором маршрута (ну и маскарад второго прова).
Сегодня наверно заведу на сервере GPRS-модем и попробую еще раз.

fhieos, твоя задача не имеет к теме обсуждения практически никакого отношения.

[Tirael]

небольшой офф: прокатит ли все здесь описанное для одного провайдера? т.е. пров раздает инет по мак адресу, воткнув вторую сетевуху и договорившись с соседом о его маке, смогу ли я получить удвоенную скорость анлима? ведь подседь и шлюз будут одни и теже..

[badfiles]

Tirael, cмотри #65. там балансировку делать надо.

[Nesmit]

...
Не сделано (сижу делаю): "dead gateway detection" для wimax0, ибо Yota любит не работать, делая вид, что все ок. Делаю dhclient-exit-hooks.d скрипт, чтобы создавал и удалял маршруты и цепочки iptables по поднятию и опусканию интерфейса.

Неделю потратил как раз на маршрутизацию. Т.к. все что прочитал - либо неполные howto (только ВЫХОД в инет через неск линков), либо просто бред (извините) местами первое в смеси со вторым.

К сожалению, в Линукс-мире никто ни за что ни перед кем не отвечает, вот и плодятся кучи всякого мусора, каждый что то настроивший сразу обобщает свой частный, часто случайный результат, прямо в таки "учебник" для других. Начитался (пардон, наболело)

Сечйас глаза слипаются , 5-30 утра, прочитал топик по диагонали, не уверен, что то я решал именно то о чем тут речь.
Если кому интересно, завтра выложу конфиги

1. В моем случае, упавший канал определяется по пингам в кроне, а не по интерфейсу. 3 пакета не идут. Канал считается упавшим, посылается команда в телнет на перезагрузку роутера и попутно весть трафик начинает лететь на 2й канал. Если через 15 минут 3 пакета проходят, все возвращается обратно.
2. не гони Я тож по началу задумывался. Но потом понял. Инструкции в большинстве случаев пишутся для себя и под себя. Условия всякий раз уникальны. Хотя бы ip всегда разные И еще одна проблема, это кривость всасывания материала. Человек устроен так, что усваивает в перемежку со своим текущим опытом. Это быстрее. Но ... происходят колизии и тогда мнение сложившееся на основе материала и опыта ранее полученного подкладывают тебе здоровенную какашку.
3. Как результат, 5-30 утра, глаза слипаются. Мозг не фурычит и все такое.
PS: Уж поверь, не первый раз. Я тут 5 биллингов поднимал, по докам в каждом случае свое. Тратил немеряно времени на разбор полетов, От 3х дней до 2х недель . Сей час же любой из них подниму со всеми настройками менее чем за час. Четко следуя по тому же материалу

небольшой офф: прокатит ли все здесь описанное для одного провайдера? т.е. пров раздает инет по мак адресу, воткнув вторую сетевуху и договорившись с соседом о его маке, смогу ли я получить удвоенную скорость анлима? ведь подседь и шлюз будут одни и теже..

почему оф?
пример2. получишь 2х кратную скорость на торрентах. Но будут описанные проблемы. Пока вас 2е они решаются быстро и легко.
Однако, есть проблема того что пров один и шлюз у вас будет одинаковый. Как решение. Поставить 2 железных роутера   Желательно с поддержкой telnet. Чтоб в случае подвисания pppoe или pptp сессий, его ребутить. Пров может запалить ttl, но это тоже быстро правится

Пользователь решил продолжить мысль 13 Ноября 2009, 11:33:55:

приведи плз твои конфиги

Там только правка ттл, маскарад и закрытие прортов со стороны локалки. С внешней маня закрывают железные роутеры.
А ну и рекламу покоццал. Знакомый дал список серверов, балующихся всплывашками. Дропнул и реджектил.

[Tirael]

почему оф?
пример2. получишь 2х кратную скорость на торрентах. Но будут описанные проблемы. Пока вас 2е они решаются быстро и легко.
Однако, есть проблема того что пров один и шлюз у вас будет одинаковый. Как решение. Поставить 2 железных роутера  Желательно с поддержкой telnet. Чтоб в случае подвисания pppoe или pptp сессий, его ребутить. Пров может запалить ttl, но это тоже быстро правится

так пров раздает инет просто по маку, без VPN, просто через шлюз есть инет...
Пользователь решил продолжить мысль 13 Ноября 2009, 08:36:14:ЗЫ. вчера невыспавшееся сознание размечталось: собрать инет с троих или четверых (с лестничной клетки) а на выходе поставить какойнить шейпер, чтоб равномерно резал скорость на всех (есть ли такой?) в итоге когда качают одновременно все - получаем скорость по тарифу, а когда один или двое - получаем учетверенную или удвоенную скорость соответственно. ведь редко кто одновременно качает, и анлим большую часть времени простаивает

[Nesmit]

в теории все просто, но работать будет с мелкими глюками
4 роутера железных, 4 сетевые карты в сервере
4 сквида + 1 сквид который будет в прозрачном режиме расскидывать по остальным прокси серверам (это чтобы авторизация на сайтах не слетала)
обязательно 1 правило что вся аська 5190 лезет только через 1 канал
и если играют в игры, вычислить ip и то же самое проделать.
В многопоточной скачке будут нагружаться все каналы одновременно. Шейпер ставить особого смысла нет, если скорость у вас на каждом канале больше 4х мегабит.
По крайней мере я собираюсь такое реализовать, но это уже на новом шлюзе

[Tirael]

в теории все просто, но работать будет с мелкими глюками
4 роутера железных, 4 сетевые карты в сервере
4 сквида + 1 сквид который будет в прозрачном режиме расскидывать по остальным прокси серверам (это чтобы авторизация на сайтах не слетала)
обязательно 1 правило что вся аська 5190 лезет только через 1 канал
и если играют в игры, вычислить ip и то же самое проделать.
В многопоточной скачке будут нагружаться все каналы одновременно. Шейпер ставить особого смысла нет, если скорость у вас на каждом канале больше 4х мегабит.
По крайней мере я собираюсь такое реализовать, но это уже на новом шлюзе

всеже не догоняю насчет роутеров, все роутеры которые я знаю предназначенны для коннекта по VPN, имеют порт WAN и порты LAN
у меня в сетке нет VPN просто через шлюз инет идет. втыкаешь кабель в сетевуху и инет сразу есть...

ЗЫ. а шейпер - это чтоб никому не обидно было, т.е. чтоб потом ругани небыло что у когото качается медленнее чем по тарифу. задача чтоб даже когда качают все четверо скорость распределялась равномерно и ниукого не проседала.