Балансировка нагрузки с conn mark не работает.

andre_i - Я несколько раз перечитывал твой пост и все еще не до конца понимаю, как у тебя все устроено… Вот как это выглядит, как я понял из твоего описания… WAN --| (Ты пишешь, что твои шлюзы 192.168.1.1) ******WAN 192.168.9.3 MT Router LAN 192.168.2.1<->Proxy 192.168.2.2 WAN --| (и 192.168.1.2) Как может быть WAN твоего MT 192.168.9.3, если шлюзы 192.168.1.x? Может, если ты немного подробнее расскажешь – wan–| *****<->WAN MT Box LAN<->Proxy <(здесь пользователи на Proxy) wan–|                    ^<-> пользователи <(или здесь на MT?) Нам будет понятнее, как тебе помочь. R/

Привет всем; вопрос балансировки нагрузки очень важен для нас. Сейчас у меня есть два VSAT-терминала, и я подключаю их к MT. Следую темам в вики, но есть проблема с балансировкой нагрузки. В одной из тем говорится о необходимости помечать соединение как нечетное (nth to odd and even) и затем помечать маршрут для этого соединения и использовать его со статическим маршрутом. Я заметил, что число нечетных пакетов всегда больше, чем число четных, и число пакетов, помеченных для маршрута, больше, чем число пакетов, помеченных соединением – это справедливо только для нечетных. В случае четных число пакетов примерно одинаковое. Затем, используя статический маршрут к ISP1 с нечеткой пометкой и другой статический маршрут к ISP2 с четкой пометкой, а также третий статический маршрут, как указано в теме, для самого маршрутизатора к ISP1, весь трафик идет только через один интернет-шлюз, а второй не пропускает трафик. Если добавить второй шлюз в третий статический маршрут, то оба интернет-терминала начинают пропускать трафик, но на стороне клиента интернета нет. Если удалить третий статический маршрут, интернет также прекращается. Вот команды, которые я сейчас использую для тестирования балансировки нагрузки:

lan > перенаправление на проводных клиентов
wlan > перенаправление на беспроводных клиентов
iDirect > перенаправление на ISP1
Hughes > перенаправление на ISP2
/ ip address
add address=xxx.xxx.xxx.xxx/30 network=aaa.aaa.aaa.aaa broadcast=bbb.bbb.bbb.bbb interface=iDirect comment="" disabled=no
add address=yyy.yyy.yyy.yyy/28 network=ccc.ccc.ccc.ccc broadcast=ddd.ddd.ddd.ddd interface=hughes comment="" disabled=no
add address=192.168.3.1/24 network=192.168.3.0 broadcast=192.168.3.255 interface=lan comment="" disabled=no
add address=192.168.4.1/24 network=192.168.4.0 broadcast=192.168.4.255 interface=wlan1 comment="" disabled=no
/ ip route
add dst-address=0.0.0.0/0 gateway=xxx.xxx.xxx.(xxx-1) scope=255 target-scope=10 routing-mark=odd comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=yyy.yyy.yyy.(yyy-1) scope=255 target-scope=10 routing-mark=even comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=xxx.xxx.xxx.xxx,yyy.yyy.yyy.yyy scope=255 target-scope=10 comment="" disabled=no

/ ip firewall mangle
add chain=prerouting in-interface=wlan1 connection-state=new nth=1,1,0 action=mark-packet new-packet-mark=odd passthrough=yes comment="wireless odd connection mark" disabled=no
add chain=prerouting in-interface=wlan1 packet-mark=odd action=mark-routing new-routing-mark=odd passthrough=no comment="wireless odd route marking" disabled=no
add chain=prerouting in-interface=lan connection-state=new nth=1,1,0 action=mark-packet new-packet-mark=odd passthrough=yes comment="wire odd connection mark" disabled=no
add chain=prerouting in-interface=lan packet-mark=odd action=mark-routing new-routing-mark=odd passthrough=no comment="wire odd route marking" disabled=no
add chain=prerouting in-interface=wlan1 connection-state=new nth=1,1,1 action=mark-packet new-packet-mark=even passthrough=yes comment="wireless even connection mark" disabled=no
add chain=prerouting in-interface=wlan1 packet-mark=even action=mark-routing new-routing-mark=even passthrough=no comment="wireless even route marking" disabled=no
add chain=prerouting in-interface=lan connection-state=new nth=1,1,1 action=mark-packet new-packet-mark=even passthrough=yes comment="wire even connection mark" disabled=no
add chain=prerouting in-interface=lan packet-mark=even action=mark-routing new-routing-mark=even passthrough=no comment="wire even route marking" disabled=no

/ ip firewall nat
add chain=srcnat src-address=192.168.3.0/24 action=masquerade comment="" disabled=no
add chain=srcnat src-address=192.168.4.0/24 action=masquerade comment="" disabled=no
с этой конфигурацией я получил одинаковое количество пакетов для каждой метки, например: проводные нечетные пакеты и проводные нечетные маршруты = 100 беспроводные нечетные пакеты и беспроводные нечетные маршруты = 230 и так далее. И только с этой конфигурацией, как я написал выше, оба интернет-терминала показывают трафик. Пожалуйста, нам всем нужна помощь в этом случае, так как это поможет нам улучшить слабое обслуживание, которое мы получаем от ISP. Любые комментарии и практический опыт, который кто-либо сделал и который хорошо работает, пожалуйста, дайте нам ваш совет.
С наилучшими пожеланиями всем

ahmedsaffar76 - Кстати, можешь просто выдать список твоих правил? Например, "/ip route print", "/ip route rule print", "/ip firewall nat print", "/ip firewall mangle print" и т.д. Когда ты вываливаешь информацию как в прошлый раз, правила не всегда выводятся в том порядке приоритета, в котором они записаны в роутере. R/

Привет ещё раз; вот информация, которую ты просил. Я убрал IP ISP.
[admin@MikroTik] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
ADDRESS            NETWORK         BROADCAST       INTERFACE
0   xxx.xxx.xxx.xxx/30 xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx   iDirect
1   yyy.yyy.yyy.yyy/28 yyy.yyy.yyy.yyy yyy.yyy.yyy.yyy   hughes
2   192.168.3.1/24     192.168.3.0     192.168.3.255   lan
3   192.168.4.1/24     192.168.4.0     192.168.4.255   wlan1
4 D 192.168.3.5/32     192.168.3.4     0.0.0.0
5 D 192.168.3.3/32     192.168.3.2     0.0.0.0
6 D 192.168.4.118/32   192.168.4.117   0.0.0.0
7 D 192.168.4.116/32   192.168.4.115   0.0.0.0
8 D 192.168.4.3/32     192.168.4.2     0.0.0.0
9 D 192.168.4.104/32   192.168.4.103   0.0.0.0
10 D 192.168.4.9/32     192.168.4.8     0.0.0.0
11 D 192.168.4.120/32   192.168.4.119   0.0.0.0
12 D 192.168.3.102/32   192.168.3.101   0.0.0.0
13 D 192.168.4.5/32     192.168.4.4     0.0.0.0
<pppoe-dr.omar>
14 D 192.168.4.106/32   192.168.4.105   0.0.0.0
xxx.xxx.xxx.xxx IP от ISP1
yyy.yyy.yyy.yyy IP от ISP2
Я использую два PPPoe-сервера, один для интерфейса LAN, а второй – для интерфейса WLAN. Для каждого клиента я назначаю два пула, каждый пул состоит только из одного IP. Позже я буду использовать эти IP в простом очереди.

[admin@MikroTik] > ip route print
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf
DST-ADDRESS        PREF-SRC        GATEWAY         DIS
0 ADC yyy.yyy.yyy.yyy/28  yyy.yyy.yyy.yyy 1
ADC xxx.xxx.xxx.xxx/30  xxx.xxx.xxx.xxx 2
ADC 192.168.3.2/32     192.168.3.3 3
ADC 192.168.3.4/32     192.168.3.5 4
ADC 192.168.3.101/32   192.168.3.102 5
ADC 192.168.3.0/24     192.168.3.1 6
ADC 192.168.4.2/32     192.168.4.3 7
ADC 192.168.4.4/32     192.168.4.5 8
ADC 192.168.4.8/32     192.168.4.9 9
ADC 192.168.4.103/32   192.168.4.104 10
ADC 192.168.4.105/32   192.168.4.106 11
ADC 192.168.4.115/32   192.168.4.116 12
ADC 192.168.4.117/32   192.168.4.118 13
ADC 192.168.4.119/32   192.168.4.120 14
ADC 192.168.4.0/24     192.168.4.1
15 X S 0.0.0.0/0                          r xxx.xxx.xxx.xxx
16 X S 0.0.0.0/0                          u yyy.yyy.yyy.yyy
17 A S 0.0.0.0/0                          r xxx.xxx.xxx.xxx
Ты увидишь, что есть два статических маршрута отключены, потому что я не хочу останавливать сервис для клиента. Как только я включу два статических маршрута, будет работать только один терминал. И когда я добавлю GW yyy.yyy.yyy.yyy к последней строке в таблице, которая теперь активна, оба терминала начнут работать, но интернет остановится. В таблице выше не отображаются метки маршрутов. Строка номер 15 имеет метку маршрута, строка номер 16 имеет метку маршрута, четную.

[admin@MikroTik] > ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
0   chain=forward protocol=tcp tcp-flags=syn connection-limit=24,32 action=jump jump-target=drop
1   chain=drop action=drop
Как я только вчера установил сервер на другой ПК, я поставил только одно правило, чтобы ограничить количество клиентских подключений к интернету. Позже будут добавлены правила.

[admin@MikroTik] > ip firewall nat print
Flags: X - disabled, I - invalid, D - dynamic
0 X chain=srcnat src-address=192.168.3.1/24 action=masquerade
1 X chain=srcnat src-address=192.168.4.1/24 action=masquerade
При включении этих двух статических маршрутов я отключаю правила NAT, чтобы избежать проблем.

[admin@MikroTik] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
1   chain=prerouting in-interface=wlan1 packet-mark=odd action=mark-routing new-routing-mark=odd passthrough=no
2   chain=prerouting in-interface=lan packet-mark=odd action=mark-routing new-routing-mark=odd passthrough=no
3   chain=prerouting in-interface=wlan1 packet-mark=even action=mark-routing new-routing-mark=even passthrough=no
4   chain=prerouting in-interface=lan packet-mark=even action=mark-routing new-routing-mark=even passthrough=no
Прикрепляю фото, чтобы показать, как подсчитываются пакеты.

С наилучшими пожеланиями.

ahmedsaffar76 - Два момента сразу бросились в глаза: во-первых, у вас нет правил маршрутизации... В Winbox, /IP route, выберите вкладку "правила". Минимум, вам нужна одна такая: src 0.0.0.0/0 dst 0.0.0.0/0 action=lookup table=main 0 chain=srcnat src-address=192.168.0.0/24 action=masquerade 1. И еще такая: chain=srcnat src-address=192.168.0.0/24 action=masquerade. Для правил scr-nat выше я бы использовал что-то вроде этого: chain=srcnat action=masquerade out-interface=iDirect routing-mark=odd. И еще: chain=srcnat action=masquerade out-interface=hughes routing-mark=even. Так как вы не можете использовать src-address, поскольку маркируете два разных IP-адресных блока "Входящих" с разными routing-mark. Для последнего правила маскарады нужно выбрать исходящий интерфейс. Выберите тот, который кажется вам наиболее надежным, routing-mark не требуются. Я все равно рекомендую вики, которую я приводил выше, функция списка адресов очень помогает поддерживать постоянные ссылки для сайтов, где это необходимо. R/

ahmedsaffar76 - Это "правило маршрутизации политик". Я не могу объяснить, почему MT ROS это требует, но знаю, что когда используешь отслеживание соединения (nat, mangle и т.д.), MT ROS ОЖИДАЕТ, чтобы в маршрутизации политик было хотя бы одно правило. Так что использование 0.0.0.0/0 с action=lookup и table=main отправляет подмодуль отслеживания соединения в твою основную таблицу маршрутизации для поиска всего и, следовательно, маршрутизации через правильный интерфейс. R/

jwcn - Как ты узнаешь, что это нелегальная копия? У меня есть две платы, которые стоят на башнях, и у них все еще 2.9.27, и у меня есть очень удаленный MT, на котором все еще 2.8.26 – я могу тебя заверить, что это все легальные копии… Если ты можешь мне объяснить, как они могут быть нелегальными, я с радостью перестану помогать… R/

Я не слежу за "взломанным" софтом – использую только легальное ПО. MT, тогда нужно сделать пост на эту тему – у всех, у кого 2.9.27, беда. Ненавижу пиратов... Раньше писал код, а сейчас нет – пираты тоже сыграли свою роль. Я просто не успел обновиться на этих старых RB112, но как-нибудь, когда заменю эти платы на что-нибудь побыстрее, установлю последнюю легальную версию, доступную для этих плат. Слишком уж хлопотно забираться на башню высотой в 15 метров с ноутбуком, чтобы сделать netinstall для двух плат… R/

Всем привет!

Балансировка нагрузки — важный вопрос для большинства пользователей MikroTik. Может кто-нибудь подсказать, как настроить балансировку между двумя (или более) интернет-каналами, чтобы трафик распределялся между ними? И еще, какие документы на сайте MikroTik лучше почитать по этой теме?

Жду ваших ответов.

С наилучшими пожеланиями.