PF два провайдера FreeBSD

Plagiator2

Добрый день.
Помогите познать дзен на коленке.

Есть Компьютер под FreeBSD 12.
На борту три сетевые карты.
Одна смотрит в локалку. Две другие к провайдерам.
Один провайдер со статическим IP, у второго динамика.
Очень хочется иметь балансировку нагрузки + аварийное переключение в случае падения одного из провайдеров.
Очень желательно что бы на самой ОС это тоже все работало. Хочется чтобы Торенты качались в два горла.
На обоих провайдерах анлим по 100мб/с

Гугл выдал только две страницы, и ничего у меня по ним не получилось.

З.Ы.
Ставить pfSense или покапать мощный роутер не хочется.

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

WideAreaNetwork

Plagiator2 писал(а): ↑
2019-07-27 19:57:42
Хочется чтобы Торенты качались в два горла

это вряд ли

Plagiator2

Грешно конечно сравнивать.
Но раньше у меня был windows server 2003.
И через Kerio было как раз реализовано все что я хочу сейчас.
И торент клиент на самом сервере качал в оба канала.

Alex Keda

было чё-то подбное: networks-f4/freebsd-2-provajdera-i-odna ... 39093.html
направление куда копать - там дано верное
--
разберётесь - отпишитесь, мож пригодится кому

WideAreaNetwork

я себе это как-то представляю через маркирование пакетов, иначе как? ну пришел пакет через первый шлюз, а уйдет через второй? так он дропнется так как инфа в нем не будет соответствовать нужной, пакет не будет знать куда далее ему идти....

если поучится мне также будет интересно узнать

lazhu · Непрочитанное сообщение **lazhu** » 2019-07-31 11:20:24

Элементарно

WideAreaNetwork

lazhu писал(а): ↑
2019-07-31 11:20:24
Элементарно

так это же агрегация, человек о другом спрашивал

lazhu · Непрочитанное сообщение **lazhu** » 2019-07-31 12:33:40

нет, он спрашивал именно об этом
балансировка нагрузки и фейловер

Plagiator2

Прочитал про lagg. Чисто в теории в сферическом вакууме это могло бы сработать.
Но только при полном падении одного из линков.
Lagg отслеживат только состояние интерфейса. Его не волнует что где-то за городом могла быть повреждена магистральная оптика, и все клиенты провайдера сидят без интернета. Если их интерфейс поднят то для него все ок.
Это не наш выбор.

Такая с виду простая задачка оказалась весьма сложной.
На забугорных сайтах тоже только вопросы. И нормальных гайдов и мануалов нету.

Как то же ребята из Kerio это решили. И работало у них все из коробки. И балансировка и отказоустойчивость. И проверка была на доступность интернета, а не состояние идеальное интерфейса.

Буду курить маны дальше. Надеюсь найду решение, обязательно поделюсь.

WideAreaNetwork

lazhu писал(а): ↑
2019-07-31 12:33:40
балансировка нагрузки и фейловер

тогда агрегация не нужна, а для балансировки зачем объединять интерфейсы? я наверное чего-то не знаю)

lazhu · Непрочитанное сообщение **lazhu** » 2019-07-31 12:58:05

WideAreaNetwork, да, не знаете. Обо всем можно почитать по ссылке

Plagiator2

WideAreaNetwork, Я так понимаю что это самый "простейший", тупой метод решения задачи в лоб.
Сделал агрегацию, и хрен знает как оно там будет работать..
тем более балансировщик там вроде как на протоколе Циски работает.. ХЗ как это вообще будет работать.
Но 100% это не будет работать в случае обрыва линии где-то, но при этом живом роуторе провайдера. Т.е. если линк поднят, то lagg это примет за чистую монету.
Это реально покайфу на производстве или провайдеру, если организовать два линка по разным маршрутам, то работать будут оба в балансе, а если один будет в обрыве, то второй примет 100% нагрузки.
Как-то так я это все понимаю.

Plagiator2

lazhu, Что-то я даже логически не могу представить как через агрегацию можно балансировать разных провайдеров, с разными IP, разными шлюзами.

Буду вечером пробовать. Тем более есть возможность имитировать отказ внутри сети провайдера.
От одного из провайдеров стоит роутер, если отключить ему ван, то lagg этого не заметит. И будем посмотреть что произойдет.
Это если вообще интернет будет, и хз как будет работать.

Если вы знаете что-то, чего считаете не знаю я (а я знаю мало), то не сочтите за сложность расскажите и объясните.
Нас любителей BSD не так много в мире осталось ))

lazhu · Непрочитанное сообщение **lazhu** » 2019-07-31 14:08:40

Plagiator2, вы правы, для разных провайдеров lagg не подойдет. Нужен полноценный multipath routing, которого нет в FreeBSD, но есть в OpenBSD. Также можно посмотреть в сторону userland-роутеров, это как раз решения системы керио (ИМХО роутинг в юзерленде не комильфо)

dekloper

Alex Keda писал(а): ↑
2019-07-30 23:21:33
разберётесь - отпишитесь, мож пригодится кому

а че там разбираться..
ипфв, конечно хорош.. но в некоторых местах кривоват, например как в данном случае..
пф гибчее, особенно в опенке... SMP бы еще запилили и былб вабче всё нарядно))

Plagiator2

dekloper, Возможно вы что-то путаете. Про IPfw вопросов не было. Был вопрос как раз по PF.
На данный момент столкнулся с тем, что версия PF в FreeBSD сильно отстает по возможностям от OpenBSD. Но сама OpenBSD мне не подходит, нет поддержки ZFS, и некоторых других функций.
Пытаюсь копать в сторону "upgrade" pf, руками перенести его из OpenBSD. Не думаю что получится..

dekloper

Plagiator2 писал(а): ↑
2019-08-06 12:56:55
версия PF в FreeBSD сильно отстает по возможностям от OpenBSD

оп чём и речь..
не вижу проблем, чтоб сделать на фре как положено..
или на опёнке..
была же трезвая идея

WideAreaNetwork писал(а): ↑
2019-07-30 23:37:42
я себе это как-то представляю через маркирование пакетов

Plagiator2

dekloper, спасибо. Как на фре я попробую. А вот опенку сравнить вместо фри ни желания, ни возможности.
Не держит опенка zfs, а вся файлопомойка на raidz

dekloper

Plagiator2, на ф.помойке городить ворота - пошло...
аднака, согласен, зфс+бхив "убивают наповал" опёнка...
отсюда вывод - нужно уметь правильно готовить и опёнка и фрю, там где нужно..

skeletor · Непрочитанное сообщение **skeletor** » 2019-08-07 8:50:51

dekloper писал(а): ↑
2019-08-06 14:37:48
не вижу проблем, чтоб сделать на фре как положено..

Так человек спрашивал про использование ОБОИХ КАНАЛОВ ОДНОВРЕМЕННО, а не основной/резервный. То есть он хотел получить 200 мбит как на вход, так и на выход.
Я сам ищу рабочий вариант под freebsd, но пока так и не нашёл годного.

Plagiator2

skeletor, Единственное "годное" что я встречал, это использование обоих каналов по типу расчески. Разделить клиентов по IP на два пула и отправлять их через разные шлюза. Но по моему это костыли.
У меня конечно все это для домашнего "извращения". Но и дома у меня стационар, ноутбук, три мобильника и планшет. + иногда заходят друзья и родственники со своими гаджетами. Да и до кучи хочется чтобы сама FreeBSD тоже могла использовать два канала.
До Фри у меня стоял 2003 сервер, и на нем с помощью Kerio Winroute Firewall было все это реализовано. Клиентов он автоматом отправлял на разные каналы, + uTorrent на самом сервере качал в два канала.
Кто-то скажет излишества, Ну а я - почему бы и нет, если есть сервер и два провайдера. Тем более Билайн халявный, а переходить на него полностью нет ни какого желания.

Где-то на Вики встречал описание к pfSence, что он может даже распределить Web трафик, скрипты в один канал, картинки в другой. Не знаю насколько это правда. Но ставить в единственной комноте (она же и спальня) еще один сервер не горю желанием, и так много времени и сил ушло на то чтобы сервер с Фрей сделать максимально тихим.

З.Ы. А если установить pfSence в Jail? ни разу с Джейлами не работал..

skeletor

не поставите в jail.

snorlov · Непрочитанное сообщение **snorlov** » 2019-08-07 11:38:00

Тогда лучше его засунуть в bhyve

guest · Непрочитанное сообщение **guest** » 2019-08-07 18:24:07

До Фри у меня стоял 2003 сервер, и на нем с помощью Kerio Winroute Firewall было все это реализовано. Клиентов он автоматом отправлял на разные каналы, + uTorrent на самом сервере качал в два канала.
Кто-то скажет излишества, Ну а я - почему бы и нет, если есть сервер и два провайдера. Тем более Билайн халявный, а переходить на него полностью нет ни какого желания.

редкий бред и про kerio и про freebsd, от незнания основ маршрутизации.

ps. удивительно как остальные пишут, да, да, это можно, с pf это будет удобней...

lazhu · Непрочитанное сообщение **lazhu** » 2019-08-07 18:32:26

guest, вы здесь единственный незнайка. Маршрутизация будет работать где угодно, был бы маршрутизатор и поддержка соответствующих протоколов. То что это будет происходить в юзерленде, а не в ядре, уже другой вопрос.

forum.lissyara.su