Korzystając z Wizarda przy pierwszym uruchomieniu EdgeMaxa mamy możliwość wybrania opcji Load-Balancing. Pozwala ona spiąć wiele łącz w "jedno" lub też ustawić drugie łącze w tryb Failover (gdy główne łącze/łącza padną to wtedy uruchomi się łącze zapasowe). Bywają jednak sytuacje, w których nie chcemy by dany host (lub grupa hostów) miała dostęp do wielu łącz lub do łącza zapasowego. Opiszę tu 2 przypadki i rozwiązanie na te problemy.
UWAGA: będę tu operował komendami, bo tak jest zwyczajnie łatwiej, natomiast nic nie stoi na przeszkodzie by poniższe polecenia wyklikać przez "Config Tree"
2 łącza w load-balancing i problem z niektórymi stronami
To przypadek mojego znajomego, który to posiada ER-X-SFP i 2 łącza w LB: LTE i Neostradę ADSL. Natrafił on na problem, w którym nie był w stanie skorzystać z profilu zaufanego. Po wyłączeniu jednego z łącz problem ustawał. Rozwiązanie jakie zastosowałem u niego to stworzenie drugiej grupy LB i zdefiniowanie grupy hostów dla której będzie jedno łącze główne a drugie będzie jako Failover.
UWAGA: by wejść w tryb konfiguracji wydajemy komendę configure, dopiero po tym możemy dodawać poniższe reguły. By całość zapisać wydajemy koemndy commit i save
Zaczynamy od grupy hostów (możemy to też zrobić przez GUI):
Cytat
set firewall group address-group jednoLacze description ''
set firewall group address-group jednoLacze address 10.0.1.3
Dla przykładu dodaliśmy hosta 10.0.1.3 do grupy nazwanej "jednoLacze".
Domyślnie Wizard tworzy grupę o nazwie "G". My stwórzmy drugą grupę o nazwie "ONE-ISP".
Cytat
set load-balance group ONE-ISP exclude-local-dns disable
set load-balance group ONE-ISP flush-on-active enable
set load-balance group ONE-ISP gateway-update-interval 20
set load-balance group ONE-ISP interface eth0
set load-balance group ONE-ISP interface pppoe1 failover-only
set load-balance group ONE-ISP lb-local enable
set load-balance group ONE-ISP lb-local-metric-change disable
w powyższym przykładzie interfejs "eth0" będzie łączem głównym, zaś "pppoe1" będzie łączem zapasowy,
Teraz dodajemy nową regułę w Firewallu. Na początek sprawdźmy jaką regułą jest nasza domyślna grupa "G". W tym celu wydajmy komendę:
Cytat
show configuration commands | grep 'firewall modify'
U kolegi była to reguła 80 (pogrubione):
Cytat
[.....]
set firewall modify balance rule 50 action modify
set firewall modify balance rule 50 description 'do NOT load balance destination public address'
set firewall modify balance rule 50 destination group address-group ADDRv4_eth3
set firewall modify balance rule 50 modify table main set firewall modify balance rule 80 action modify
set firewall modify balance rule 80 modify lb-group G
Musimy dodać naszą nową regułę wyżej zatem niech to będzie 70. wydajemy komendy:
Cytat
set firewall modify balance rule 70 action modify
set firewall modify balance rule 70 modify lb-group ONE-ISP
set firewall modify balance rule 70 source group address-group jednoLacze
Jak widzimy reguła na wskazaną grupę adresów (jednoLacze) dla której ma działać.
Od tej pory każdy host dodany do tej grupy nie będzie korzystał z polityki domyślnej "G" a z naszej nowej polityki "ONE-ISP".
Failover a backup
To z kolei mój przypadek... Mam NAS, który działa 24/7. W nocy wykonuje backup różnych maszych, również zdalnych. Chciałem uniknąć sytuacji, w której w nocy padnie łącze główne a backup zje mi cały transfer z mojego zapasowego LTE. Procedura jest bardzo bliźniacza to powyższej, z tą różnicą, że u siebie do grupy ONE-ISP dodałem tylko jedno łącze. Wygląda to następująco:
Nowa grupa IPków:
Cytat
set firewall group address-group jednoLacze description ''
set firewall group address-group jednoLacze address 10.1.1.10
Grupa LB:
Cytat
set load-balance group ONE-ISP exclude-local-dns disable
set load-balance group ONE-ISP flush-on-active enable
set load-balance group ONE-ISP gateway-update-interval 20
set load-balance group ONE-ISP interface eth10
set load-balance group ONE-ISP lb-local enable
set load-balance group ONE-ISP lb-local-metric-change disable
gdzie eth10 to moje łącze główne.
i reguła Firewall
Cytat
set firewall modify balance rule 130 action modify
set firewall modify balance rule 130 modify lb-group ONE-ISP
set firewall modify balance rule 130 source group address-group jednoLacze
Efekt taki, że jak łącze główne padnie, to wszystkie hosty w sieci mają internet z łącza zapasowego, natomiast NAS nie. Oczywiście blokowanie NASa to tylko jedna z opcji. Równie dobrze może to być Smart TV, który Netflixem, Youtubem itd może nam zużyć cenny transfer z łącza zapasowego.
Pozdrawiam
Proxmox VE:i7-7700T, 64GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+ VM Router:OpenWRT 22.03.4 VM NAS:Synology DS920+ VM VPS:Debian, WWW, Home Assistant Switch:Netgear MS510TXPP Switch:Ubiquiti USW-Flex-mini - szt. 2 Wi-Fi:Ubiquiti U6-Lite - szt. 2
trafilem na wyzwanie z UPC -tz musialem rozwiazac umowe, poczekac miech zeby zostac nowym klinetem i podpisac znowu. Przez miesiac jechalem na LTE z androida - USB Tethering. Niestety podpinalem go bezposrednio pod PC gdyz w tomato nie dalem rady posty byly z przed 5 i wiecej lat.
nie kazdy ma glowne lacze i dodatlowo 2gie na LTE. czy przy zaniku lacza glownego daloby rade bezposrednio podlaczyc telefon z androidem do Ubi i korzystac z netu przez USB Tethering. Fajnie np jakby wtedy tranfer NAS byl off.
Orange 300/50 Mb/s + ONT Terminal HPE MS gen8 Proxmox 7.0-11 VMs: Router OPNsense 23.X-amd64 and OMV HPE MicroServer gen8: Xeon E3-1265Lv2, 16GB (2x KTH-PL316E/8G), HP 331T, 4x4TB WD RED Asus RT-AC68U AccessPoint
port USB w moim routerze jest oznaczony jako "for future usage". Sprawdzałem jak go kupiłem i nie wykrywał nawet pendrive. W sensie urządzenie widział ale nie ładował potrzebnych modułów, mimo że takowe w systemie były. Po ich ręcznym załadowaniu pendrive w końcu został rozpoznany i widoczny jako "sda". NAwet przez pewien czas miałem skrypt który cyklicznie zgrywał na niego konfigurację.
analogicznie wygląda to z obsługą modemów 3g/lte. W sensie jakieś moduły są ale takiej obsługi jak w Tomato nie uświadczysz. O podpięciu telefonu nawet nie wspomnę. Myślę, że finalnie dałoby się obsłużyć Hilinka, bo to najprostszy sposób implementacji modemu LTE. Z innymi modemami czy telefonami będzie problem. Trzeba by napisać cały skrypt do wykrywania, przełaczania i nawiązywania połączenia pppoe - za dużo roboty. No i zawsze będą nas ograniczać wkompilowane moduły - własnych nie dodamy. Dlatego u mnie za obsługę LTE odpowiada Asus WL-330N3G z wgranym MiFi (takie mini-openwrt od obsego) + Huawei E3276s Hilink. Taki zestaw skrętką podpięty do EdgeRoutera robi za failover. Dzięki temu że zestaw LTE podpięty jest skrętką z routerem głównym, mogłem go umiejscowić tam gdzie mam najlepszy zasięg, zamiast w zamkniętej szafce na przedpokoju, gdzie spoczywa ER-12.
Edytowany przez shibby dnia 04-01-2021 12:34
Proxmox VE:i7-7700T, 64GB RAM, 3x2TB SSD, 1x1TB SSD, 512GB NVMe, Intel X710-DA2 SFP+ VM Router:OpenWRT 22.03.4 VM NAS:Synology DS920+ VM VPS:Debian, WWW, Home Assistant Switch:Netgear MS510TXPP Switch:Ubiquiti USW-Flex-mini - szt. 2 Wi-Fi:Ubiquiti U6-Lite - szt. 2
· Łącznie użytkowników: 24,115 · Najnowszy użytkownik: Ja
Czat
Musisz się zalogować, aby opublikować wiadomość.
Adooni
26-04-2024 14:41
jaki router RMerlin nie pociagne, tomato/ openwrt tak non hilink,
tamtosiamto
23-04-2024 12:35
modem bez smilocka?
man1
22-04-2024 23:27
Czy próbował ktoś uzywac karty voice (z nolimit GB) od tmobile w modemie /routerze? Da się jakoś to zrobić? Bo u mnie neta brak. E3372
tamtosiamto
31-03-2024 12:54
Wesolego jajka wszytskim forumowiczom
tamtosiamto
28-03-2024 23:24
tak, tak zgadza sie, ale ja pytam o wykluczenie noda na guest network w first set, i to nie dziala
Adooni
24-03-2024 13:16
Guest network is currently designed to allow the first set of each band (2.4G, 5G, 5G-1) available to the AiMesh node
tamtosiamto
24-03-2024 03:03
ale w 1 jest opcja do wyboru - dla calej sieci albo rutera only i wlasnie o tym mowie, ze nie dziala
Adooni
23-03-2024 16:31
w dokumencie asusa jest ze wlasnie dla 1 ma dzialac na nodach tez
tamtosiamto
23-03-2024 15:39
tak, ale nie zmienia to faktu, ze w pierwszej nie dziala wylaczanie aimesh dla goscinnej( a powinno), czyli jest jakis bug. Mam start soft, bo to dsl-ac68 ktory nie jest juz updateowany
Adooni
22-03-2024 18:07
nie, 1 wsza bedzie wszedzie trzeba 2ga zrobic dla kazdego pasma te nie sa przenoszone