Korzystając z Wizarda przy pierwszym uruchomieniu EdgeMaxa mamy możliwość wybrania opcji Load-Balancing. Pozwala ona spiąć wiele łącz w "jedno" lub też ustawić drugie łącze w tryb Failover (gdy główne łącze/łącza padną to wtedy uruchomi się łącze zapasowe). Bywają jednak sytuacje, w których nie chcemy by dany host (lub grupa hostów) miała dostęp do wielu łącz lub do łącza zapasowego. Opiszę tu 2 przypadki i rozwiązanie na te problemy.
UWAGA: będę tu operował komendami, bo tak jest zwyczajnie łatwiej, natomiast nic nie stoi na przeszkodzie by poniższe polecenia wyklikać przez "Config Tree"
2 łącza w load-balancing i problem z niektórymi stronami
To przypadek mojego znajomego, który to posiada ER-X-SFP i 2 łącza w LB: LTE i Neostradę ADSL. Natrafił on na problem, w którym nie był w stanie skorzystać z profilu zaufanego. Po wyłączeniu jednego z łącz problem ustawał. Rozwiązanie jakie zastosowałem u niego to stworzenie drugiej grupy LB i zdefiniowanie grupy hostów dla której będzie jedno łącze główne a drugie będzie jako Failover.
UWAGA: by wejść w tryb konfiguracji wydajemy komendę configure, dopiero po tym możemy dodawać poniższe reguły. By całość zapisać wydajemy koemndy commit i save
Zaczynamy od grupy hostów (możemy to też zrobić przez GUI):
Cytat
set firewall group address-group jednoLacze description ''
set firewall group address-group jednoLacze address 10.0.1.3
Dla przykładu dodaliśmy hosta 10.0.1.3 do grupy nazwanej "jednoLacze".
Domyślnie Wizard tworzy grupę o nazwie "G". My stwórzmy drugą grupę o nazwie "ONE-ISP".
Cytat
set load-balance group ONE-ISP exclude-local-dns disable
set load-balance group ONE-ISP flush-on-active enable
set load-balance group ONE-ISP gateway-update-interval 20
set load-balance group ONE-ISP interface eth0
set load-balance group ONE-ISP interface pppoe1 failover-only
set load-balance group ONE-ISP lb-local enable
set load-balance group ONE-ISP lb-local-metric-change disable
w powyższym przykładzie interfejs "eth0" będzie łączem głównym, zaś "pppoe1" będzie łączem zapasowy,
Teraz dodajemy nową regułę w Firewallu. Na początek sprawdźmy jaką regułą jest nasza domyślna grupa "G". W tym celu wydajmy komendę:
Cytat
show configuration commands | grep 'firewall modify'
U kolegi była to reguła 80 (pogrubione):
Cytat
[.....]
set firewall modify balance rule 50 action modify
set firewall modify balance rule 50 description 'do NOT load balance destination public address'
set firewall modify balance rule 50 destination group address-group ADDRv4_eth3
set firewall modify balance rule 50 modify table main set firewall modify balance rule 80 action modify
set firewall modify balance rule 80 modify lb-group G
Musimy dodać naszą nową regułę wyżej zatem niech to będzie 70. wydajemy komendy:
Cytat
set firewall modify balance rule 70 action modify
set firewall modify balance rule 70 modify lb-group ONE-ISP
set firewall modify balance rule 70 source group address-group jednoLacze
Jak widzimy reguła na wskazaną grupę adresów (jednoLacze) dla której ma działać.
Od tej pory każdy host dodany do tej grupy nie będzie korzystał z polityki domyślnej "G" a z naszej nowej polityki "ONE-ISP".
Failover a backup
To z kolei mój przypadek... Mam NAS, który działa 24/7. W nocy wykonuje backup różnych maszych, również zdalnych. Chciałem uniknąć sytuacji, w której w nocy padnie łącze główne a backup zje mi cały transfer z mojego zapasowego LTE. Procedura jest bardzo bliźniacza to powyższej, z tą różnicą, że u siebie do grupy ONE-ISP dodałem tylko jedno łącze. Wygląda to następująco:
Nowa grupa IPków:
Cytat
set firewall group address-group jednoLacze description ''
set firewall group address-group jednoLacze address 10.1.1.10
Grupa LB:
Cytat
set load-balance group ONE-ISP exclude-local-dns disable
set load-balance group ONE-ISP flush-on-active enable
set load-balance group ONE-ISP gateway-update-interval 20
set load-balance group ONE-ISP interface eth10
set load-balance group ONE-ISP lb-local enable
set load-balance group ONE-ISP lb-local-metric-change disable
gdzie eth10 to moje łącze główne.
i reguła Firewall
Cytat
set firewall modify balance rule 130 action modify
set firewall modify balance rule 130 modify lb-group ONE-ISP
set firewall modify balance rule 130 source group address-group jednoLacze
Efekt taki, że jak łącze główne padnie, to wszystkie hosty w sieci mają internet z łącza zapasowego, natomiast NAS nie. Oczywiście blokowanie NASa to tylko jedna z opcji. Równie dobrze może to być Smart TV, który Netflixem, Youtubem itd może nam zużyć cenny transfer z łącza zapasowego.
Pozdrawiam
Proxmox VE:i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+ VM Router:OpenWRT 22.03.4 VM NAS:Synology SA6400 VM VPS:Debian, WWW, Home Assistant Switch:Netgear MS510TXPP Switch:Ubiquiti USW-Flex-mini - szt. 2 Wi-Fi:Ubiquiti U6-Lite - szt. 2
trafilem na wyzwanie z UPC -tz musialem rozwiazac umowe, poczekac miech zeby zostac nowym klinetem i podpisac znowu. Przez miesiac jechalem na LTE z androida - USB Tethering. Niestety podpinalem go bezposrednio pod PC gdyz w tomato nie dalem rady posty byly z przed 5 i wiecej lat.
nie kazdy ma glowne lacze i dodatlowo 2gie na LTE. czy przy zaniku lacza glownego daloby rade bezposrednio podlaczyc telefon z androidem do Ubi i korzystac z netu przez USB Tethering. Fajnie np jakby wtedy tranfer NAS byl off.
Orange 300/50 Mb/s + ONT Terminal HPE MS gen8 Proxmox 7.0-11 VMs: Router OPNsense 23.X-amd64 and OMV HPE MicroServer gen8: Xeon E3-1265Lv2, 16GB (2x KTH-PL316E/8G), HP 331T, 4x4TB WD RED Asus RT-AC68U AccessPoint
port USB w moim routerze jest oznaczony jako "for future usage". Sprawdzałem jak go kupiłem i nie wykrywał nawet pendrive. W sensie urządzenie widział ale nie ładował potrzebnych modułów, mimo że takowe w systemie były. Po ich ręcznym załadowaniu pendrive w końcu został rozpoznany i widoczny jako "sda". NAwet przez pewien czas miałem skrypt który cyklicznie zgrywał na niego konfigurację.
analogicznie wygląda to z obsługą modemów 3g/lte. W sensie jakieś moduły są ale takiej obsługi jak w Tomato nie uświadczysz. O podpięciu telefonu nawet nie wspomnę. Myślę, że finalnie dałoby się obsłużyć Hilinka, bo to najprostszy sposób implementacji modemu LTE. Z innymi modemami czy telefonami będzie problem. Trzeba by napisać cały skrypt do wykrywania, przełaczania i nawiązywania połączenia pppoe - za dużo roboty. No i zawsze będą nas ograniczać wkompilowane moduły - własnych nie dodamy. Dlatego u mnie za obsługę LTE odpowiada Asus WL-330N3G z wgranym MiFi (takie mini-openwrt od obsego) + Huawei E3276s Hilink. Taki zestaw skrętką podpięty do EdgeRoutera robi za failover. Dzięki temu że zestaw LTE podpięty jest skrętką z routerem głównym, mogłem go umiejscowić tam gdzie mam najlepszy zasięg, zamiast w zamkniętej szafce na przedpokoju, gdzie spoczywa ER-12.
Edytowany przez shibby dnia 04-01-2021 12:34
Proxmox VE:i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+ VM Router:OpenWRT 22.03.4 VM NAS:Synology SA6400 VM VPS:Debian, WWW, Home Assistant Switch:Netgear MS510TXPP Switch:Ubiquiti USW-Flex-mini - szt. 2 Wi-Fi:Ubiquiti U6-Lite - szt. 2
· Łącznie użytkowników: 24,115 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
Maniek91PL
06-11-2024 22:37
dzięki !
maxikaaz
29-10-2024 14:27
@Maniek91PL - Administration=> Admin Access, i tam masz "Allow Wireless Access" do zaznaczenia
Maniek91PL
26-10-2024 22:07
siemka! ktoś przypomni co się ustawiało jeśli nie mogę wejść od strony wifi do tomato? od lan działa
overflow2
04-10-2024 17:34
Kupowałem Asusy n10u albo n12d1 ale nie widzę ich, chyba już nie produkują, Chodzi o coś nowego i taniego. Transfery niewielkie.
maxikaaz
04-10-2024 09:38
@overflow2 patrząc po dostępności funkcji w nowych kompilacjach, to chyba nawet WRT54G/GL jeszcze ma OpenVPN, albo jakiś odpowiednik... zależy, na jakie transfery liczysz.
overflow2
30-09-2024 20:53
Jaki aktualnie najtańszy router do tomato do openvpn?
maxikaaz
27-07-2024 15:07
@servee - na początek router do rozebrania i obejrzenia, ciężko wróżyć tak tylko po objawach
maxikaaz
27-07-2024 14:55
@servee - cały kontroler nie pada tak sobie z powodu "zbiegu okoliczności", więc prawdopodobnie gdzieś przepięcie.
servee
25-07-2024 13:33
@maxikaaz: działało, aż pewnego pięknego dnia przestało działać. W tym dniu była też burza, ale to raczej zbieg okoliczności.
maxikaaz
25-07-2024 11:38
@servee - o ile problem jest w obrębie samych wyjść (dławiki, warystory), to naprawialne, ale jeśli w samym SoC - to nienaprawialne ze względu na koszta. A co było przyczyną?
' target='_blank'>Link
