Firewall *nix: iptables, ipfw, pf etc... - [21] :: В помощь системному администратору

Проблема в iproute помогите решить
Есть сервер с двумя входами от двух провайдеров и 3-мя выходами в сеть (исходящая карта одна но на ней еще два вирт интерфейса по vlan)
Стоит задача раздать инет части пользователей через сквид части через NAT по IP клиента плюс нарезать скорость.
Все настроил отказоустойчивость сделал скриптом в варианте проверки доступности шлюза провайдера и подмене дефаултного роутера в зависимости от доступности того или иного шлюза провайдера.

Но вот захотелось мне сделать работу сразу по двум провайдерам с балансировкой нагрузки и тут получился трабл
сделал две таблицы маршрутизации
добавил пару маршрутов вот так

ip route add $P1_NET dev $IF1 src $IP1 table $TBL1 > /dev/null 2>&1
ip route add default via $P1 table $TBL1 > /dev/null 2>&1
ip route add $P2_NET dev $IF2 src $IP2 table $TBL2 > /dev/null 2>&1
ip route add default via $P2 table $TBL2 > /dev/null 2>&1

ip route add $P1_NET dev $IF1 src $IP1 > /dev/null 2>&1
ip route add $P2_NET dev $IF2 src $IP2 > /dev/null 2>&1

ip route add default via $P1 > /dev/null 2>&1

ip rule add from $IP1 table $TBL1 > /dev/null 2>&1
ip rule add from $IP2 table $TBL2 > /dev/null 2>&1

ip route add $P0_NET dev $IF0 table $TBL1 > /dev/null 2>&1
ip route add $P2_NET dev $IF2 table $TBL1 > /dev/null 2>&1

ip route add 127.0.0.0/8 dev lo table $TBL1 > /dev/null 2>&1
ip route add $P0_NET dev $IF0 table $TBL2 > /dev/null 2>&1
ip route add $P1_NET dev $IF1 table $TBL2 > /dev/null 2>&1

ip route add 127.0.0.0/8 dev lo table $TBL2 > /dev/null 2>&1

iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -s $P0_NET -o $IF1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s $P0_NET -o $IF2 -j MASQUERADE

где
LAN interface IF0
# WAN interface 1 IF1="p4p1"
# WAN interface 2 IF2="p5p1"
IP1,2 мои внешние адреса
P1,2 шлюзы моих провайдеров
P1_NET,P2_NET мои подсети внешние Р0_NET внутреня
TBL1,TBL2 таблицы маршрутизации

Ну естественно удалил добавление шлюза при поднятии внешних интефейсов

ну и собственно правило роута с балансом
ip route delete default
ip route add default scope global nexthop via $P1 dev $IF1 weight $W1 \
nexthop via $P2 dev $IF2 weight $W2

все остальные правила остались как и были при настройке на работу со сменой шлюза разрешения в них внесены для обеих исходящих сетевок одинаковые что бы переключаться только сменой шлюза.

После запуска все заработало но странно
Squid работает на ура коннекты идут куда надо трафик балансит между сетевками.

NAT тоже работает но полностью отказались работать правила настройки скорости клиентов настроенные через tc скорость клиантов показывает на уровне 10-15 килобит как только отключаю балансировку сразу начинает отрабатывать правильная

Ну и еще один глюк это OpenVPN клиенты видят внешние интерфейсы сервера могут создать сессию им все настраивается но внутри сети они могут пинговать только внутреннюю сетевую карту сервера машины внутри самой сети не доступны.

Скорость нарезал вот так

lan="p6p1"
wann1="p5p1"
wann2="p4p1"
SpeedIPS="1000Mbit" #Скорость провайдера
SpeedLevel11="1Mbit" #Скорость 1 set-class 11
SpeedLevel5="5Mbit" #Скорость 5 set-class 5

tc qdisc del dev $lan root
tc qdisc del dev $wann1 root
tc qdisc del dev $wann2 root

tc qdisc add dev $lan root handle 1: htb default 150 #r2q 1400
tc class add dev $lan parent 1: classid 1:1 htb rate $SpeedIPS burst 20k
#speed 1m
tc class add dev $lan parent 1:1 classid 1:11 htb rate $SpeedLevel11 ceil $SpeedLevel11 burst 20k
tc qdisc add dev $lan parent 1:11 handle 11: sfq

tc class add dev $lanwfree parent 2:1 classid 2:11 htb rate $SpeedLevel11 ceil $SpeedLevel11 burst 20k
tc qdisc add dev $lanwfree parent 2:11 handle 11: sfq

#speed 5m
tc class add dev $lan parent 1:1 classid 1:5 htb rate $SpeedLevel5 ceil $SpeedLevel5 burst 20k
tc qdisc add dev $lan parent 1:5 handle 5: sfq

tc class add dev $lanwfree parent 2:1 classid 2:5 htb rate $SpeedLevel5 ceil $SpeedLevel5 burst 20k
tc qdisc add dev $lanwfree parent 2:5 handle 5: sfq
tc filter add dev $lan parent 1:0 protocol ip prio 1 handle 11 fw flowid 1:11
tc filter add dev $lan parent 1:0 protocol ip prio 1 handle 5 fw flowid 1:5

ну и маркировка самих клиентов
/sbin/iptables -t mangle -A POSTROUTING -d $ip -j CLASSIFY --set-class 1:11
/sbin/iptables -t mangle -A POSTROUTING -s $ip -j CLASSIFY --set-class 1:11

Подскажите где я туплю уже три дня копаюсь в этом всем но результат все тот же

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30