Как се прави NAT + Load Balance с Mikrotik

[stoar08]

Не знам дали някой освен мен се е пробвал да прави такова извращение (все пак повечето хора имат backup линии, а не >1 връзки за постоянно ползване), но ако има такъв - със сигурност е забелязал, че връзката става неустойчива и проблемна. Това се дължи на факта, че когато имаме NAT, 2та пътя имат различни "източници". Когато сървърът получи пакет за дадена сесия, но от друго IP, той го изхвърля безусловно.

След като видях, че при Cisco решението на проблема е точно 1 ред, реших да попитам google и попаднах на следното :

Код: Избери всички

/ip firewall mangle
add chain=prerouting in-interface=Local connection-state=new nth=1,1,1 \
    action=mark-connection new-connection-mark=even passthrough=yes comment="" \
    disabled=no 
add chain=prerouting in-interface=Local connection-mark=even action=mark-routing \
    new-routing-mark=even passthrough=no comment="" disabled=no 

/ ip route 
add dst-address=0.0.0.0/0 gateway=10.111.0.1 scope=255 target-scope=10 routing-mark=odd \
    comment="" disabled=no 
add dst-address=0.0.0.0/0 gateway=10.112.0.1 scope=255 target-scope=10 routing-mark=even \
    comment="" disabled=no 

В общи линии при наличието на 2 доставчика - това е В тази конфигурация трябва да се смени името на интерфейса и адресите на gateway-те. Всички останали неща (адреси на рутера, dns сървъри, NAT и т.н.) са стандартни.
Добре е да има и

Код: Избери всички

add dst-address=0.0.0.0/0 gateway=10.112.0.1 scope=255 target-scope=10 comment="" \
    disabled=no

Това е gateway за самият рутер.

В момента правя аналогични тестове с 4 ADSL ... Изглежда много красиво

[stoar08]

Тестовете на место показаха, че от 4 ADSL по 2 Mbit може да се изсмуче 4Mbit torrent поток, да се сърфира без сериозно забавяне и да се поддържа ssh сесия в продължение на 10на минути (тест за стабилност на връзките).
Изглежда ...обнадеждаващо Би трябвало да постига и 100% ефективност, при повече връзки.
Ако излезнат проблеми ще пиша пак. Възнамерявам да допиша и 1 script, който да сваля забилите ADSL модеми от списъка, но ми трябва малко време да доизмисля някои неща. Ще напиша и него, като го сътворя.

[gbeshev]

Здравей колега.
Ти маркирваш едната канекция с ЕVEN, а коя с ОDD?
Защото не го виждам.
Аз имам два модема по 12мбит и искам да вида какво ще стане.

[stoar08]

Код: Избери всички

/ip firewall mangle
add chain=prerouting in-interface=Local connection-state=new nth=1,1,0 \
    action=mark-connection new-connection-mark=odd passthrough=yes comment="" \
    disabled=no 
add chain=prerouting in-interface=Local connection-mark=odd action=mark-routing \
    new-routing-mark=odd passthrough=no comment="" disabled=no

Съжалявам, бях го пропуснал "nth" указва кой брояч, на колко пакета се нулира и кой поред пакет се брои за "Пакетът".

ПС някои сайтове са написани достатъчно отвратително за да не работят по тази схема (ccbank.bg).

[gbeshev]

А дали има друг начин при който работят "тъпите" сайтове?

А между другото знаете ли как се прави БТК модем на бридж и МК да се канеква директно?

[stoar08]

За сега не знам за друг сайт с "дебилен" https. Лично аз просто съм го сложил да минава през точно 1 место.
Другия начин е да ги сложиш да се балансират по IP на клиент. Мога да опиша и него, но ми звучи неефективен при малък брой потребители (5-10).

[stoar08]

А случайно да си прочел, че говорим за NAT? Все пак някой по някакъв начин трябва да следи връзките и дадена сесия да се движи винаги от дадено място. Не знам дали ти е направил впечатление подписа ми (ето ... похвалих се ). Темата си има причина ...
За нормална операция става и със статичен път и отнема около 10 знака писане. OSPF, RIP, BGP - не е като да няма ... Но като ми покажеш наш обект в BG изцяло базиран на реални IP (за да не се налага NAT) обещавам бутилка бира