PBR без скриптов

[_kirill_]

Можно ли сделать PBR без скриптов? Есть 2 канала один как основной, другой как резервный, можно ли сделать переключение между каналами при обрыве первого без скриптов. В данный момент настроил PBR с помощью скрипта, который тупо пингует гейтвэи, и в зависимости от пинга переключает канал(меняет гейтвэй).

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

routed/zebra/...

[_kirill_]

routed/zebra/...

зебра, ты имеешь ввиду Dynamic Routing, типа RIP, OSPF, BGP???

[_kirill_]

routed/zebra/...

зебру, я ставил, но через нее у мня ничего не получилось... тама 2 гейтвейа можно сделать, но канал не переключается...

[in7rude]

А просто балансировка нагрузки при помощи PBR уже не рулит? Когда все норм - работает на 2-х каналах, один отпал - работаем на втором.

[_kirill_]

А просто балансировка нагрузки при помощи PBR уже не рулит? Когда все норм - работает на 2-х каналах, один отпал - работаем на втором.

Вот именно этот вариант нужен

[in7rude]

я настраивал по этой статье, соответственно внедряя в свои конфиги

[dikens3]

я настраивал по этой статье, соответственно внедряя в свои конфиги

PF рулит хочешь сказать. :-) Я вот его не знаю.

[Andy]

Можно ли сделать PBR без скриптов? Есть 2 канала один как основной, другой как резервный, можно ли сделать переключение между каналами при обрыве первого без скриптов.

В принципе, можно озадачится и настроить VRRP. Только, так ли уж скрипт неудобен?

[in7rude]

PF рулит хочешь сказать. :-) Я вот его не знаю.

Также есть статья по настройке PBR с использованием IPFW

[_kirill_]

Можно ли сделать PBR без скриптов? Есть 2 канала один как основной, другой как резервный, можно ли сделать переключение между каналами при обрыве первого без скриптов.

В принципе, можно озадачится и настроить VRRP. Только, так ли уж скрипт неудобен?

ну можете скриптиков кто нить подбросить, а то мой не правильно пашет...

[Andy]

Файр какой? Если pf, то:

Код: Выделить всё

lan_net = "192.168.0.0/24"
int_if  = "dc0"
ext_if1 = "fxp0"
ext_if2 = "fxp1"
ext_gw1 = "68.146.224.1"
ext_gw2 = "142.59.76.1"

#  nat outgoing connections on each internet interface
nat on $ext_if1 from $lan_net to any -> ($ext_if1)
nat on $ext_if2 from $lan_net to any -> ($ext_if2)

#  default deny
block in  from any to any
block out from any to any

#  pass all outgoing packets on internal interface
pass out on $int_if from any to $lan_net
#  pass in quick any packets destined for the gateway itself
pass in quick on $int_if from $lan_net to $int_if
#  load balance outgoing tcp traffic from internal network. 
pass in on $int_if route-to \
    { ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
    proto tcp from $lan_net to any flags S/SA modulate state
#  load balance outgoing udp and icmp traffic from internal network
pass in on $int_if route-to \
    { ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
    proto { udp, icmp } from $lan_net to any keep state

#  general "pass out" rules for external interfaces
pass out on $ext_if1 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if1 proto { udp, icmp } from any to any keep state
pass out on $ext_if2 proto tcp from any to any flags S/SA modulate state
pass out on $ext_if2 proto { udp, icmp } from any to any keep state

#  route packets from any IPs on $ext_if1 to $ext_gw1 and the same for
#  $ext_if2 and $ext_gw2
pass out on $ext_if1 route-to ($ext_if2 $ext_gw2) from $ext_if2 to any 
pass out on $ext_if2 route-to ($ext_if1 $ext_gw1) from $ext_if1 to any

[_kirill_]

ipfw

[Andy]

Тогда значит, переделывай под ipfw. Правила в файрах везде "говорящие". round-robin
ipfw вроде тоже умеет. Читай перевод хэндбука по ipfw,
пробуй. Потом сюда рабочий конфиг кинешь.

[_kirill_]

Тогда значит, переделывай под ipfw. Правила в файрах везде "говорящие". round-robin
ipfw вроде тоже умеет. Читай перевод хэндбука по ipfw,
пробуй. Потом сюда рабочий конфиг кинешь.

Нашёл другое решение, всё это замутить через OSPF, тока с провами надо договариться

[Andy]

Блин, вот тебя кидает от скриптов, к динамическому роутингу Попробуй на скриптах вначале, или
через балансировку нагрузки. Потом vrrp. А то с провом можно очень долго договариваться.

[_kirill_]

Блин, вот тебя кидает от скриптов, к динамическому роутингу Попробуй на скриптах вначале, или
через балансировку нагрузки. Потом vrrp. А то с провом можно очень долго договариваться.

Просто понимаешь у меня такая проблема... у меня сама связь с провом непроподает, а проподает инет у вышестоящего прова... из-за этого тупым пингом трудно разрулить а через ipfw, как та не хочеца . просто до меня кто админил тама такую кучю правил оставил, если делать всё это, то нада делать всё заново... а ты мож наверно сам знаешь как начальство относится к простою сервака . так что попробую сначала с провом договориться а потом мож через ipfw. и если сможешь заглени сюды: http://forum.lissyara.su/viewtopic.php?f=8&t=4192

[Andy]

просто до меня кто админил тама такую кучю правил оставил, если делать всё это, то нада делать всё заново... а ты мож наверно сам знаешь как начальство относится к простою сервака . так что попробую сначала с провом договориться а потом мож через ipfw. и если сможешь заглени сюды: http://forum.lissyara.su/viewtopic.php?f=8&t=4192

Как относятся к отсутствию инета знаю. Что у тебя там такого стоит, и почему нельзя сделать заново под себя? Я именно так и сделал, когда в очередной раз на сервере отвалился dns, из-за того, что кешировать уже некуда было, место на винте кончилось, потому как я только fetch'нул дерево портов (там винт был разбит как интересно, чего то не было, только я уже не помню чего). В общем я пришел к такому выводу, что поддерживать те костыли, которые на сервере живут (в виде неработающего vpn, через зад настроеного dns, старого файрвола) у меня нет никакого желания (тем паче, что я пришел через полгода, после того как ушел предыдущий админ), да и внятной документации небыло, не говоря о том, что был про.... эээ утрачен пароль рута, а sudo на сервере остутствовала. Переделал как мне нужно, потратил время, зато проверил свои знания, осознал некоторые вещи, научился смотреть логи. Вывод - полезно . А BGP и OSPF для меня пока "сигналы из космоса". Я знаю что они есть, но что с ними делать неясно

[_kirill_]

просто до меня кто админил тама такую кучю правил оставил, если делать всё это, то нада делать всё заново... а ты мож наверно сам знаешь как начальство относится к простою сервака . так что попробую сначала с провом договориться а потом мож через ipfw. и если сможешь заглени сюды: http://forum.lissyara.su/viewtopic.php?f=8&t=4192

Как относятся к отсутствию инета знаю. Что у тебя там такого стоит, и почему нельзя сделать заново под себя? Я именно так и сделал, когда в очередной раз на сервере отвалился dns, из-за того, что кешировать уже некуда было, место на винте кончилось, потому как я только fetch'нул дерево портов (там винт был разбит как интересно, чего то не было, только я уже не помню чего). В общем я пришел к такому выводу, что поддерживать те костыли, которые на сервере живут (в виде неработающего vpn, через зад настроеного dns, старого файрвола) у меня нет никакого желания (тем паче, что я пришел через полгода, после того как ушел предыдущий админ), да и внятной документации небыло, не говоря о том, что был про.... эээ утрачен пароль рута, а sudo на сервере остутствовала. Переделал как мне нужно, потратил время, зато проверил свои знания, осознал некоторые вещи, научился смотреть логи. Вывод - полезно . А BGP и OSPF для меня пока "сигналы из космоса". Я знаю что они есть, но что с ними делать неясно

... ладна когда замучу, распишу всё подробно...

[malor]

{ ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
proto tcp from $lan_net to any flags S/SA modulate state
# load balance outgoing udp and icmp traffic from internal network
pass in on $int_if route-to \
{ ($ext_if1 $ext_gw1), ($ext_if2 $ext_gw2) } round-robin \
proto { udp, icmp } from $lan_net to any keep state

Что такое "round-robin"? Встретил в мане на mpd:
http://mpd.sourceforge.net/doc/mpd23.ht ... ound-robin[/b]
When multilink PPP is enabled and there are two or more links connected, this option enables round robin packet scheduling across the links. That is, instead of breaking each packet into fragments and delivering the individual fragments over all the links in the bundle, each packet is delivered whole over single link. The link is chosen by rotating in round-robin fashion over all the links in the bundle.

This option normally would result in higher latency and possible delays due to TCP packets being received out of order; however, it may help in certain situations of high packet loss or broken peer equipment.[/quote]