Nastavení Multi-WAN pro ISP - O2+klfree

Dne 2014-05-11 14:37 Upraveno 2014-05-11 20:25

Zdravím vás a prosím o pomoc při mém problému.

Snažil jsem si nastavit si Multi-WAN pro ISP O2 a Klfree.net, ale bohužel se mě to nedaří. Postupoval jsem dle návodu zde https://www.turris.cz/doc/navody/multiwan

Do WAN mám kabel od VDSL modemu od O2, který je nastavený v režimu bridge. To vše funguje v pořádku. Turris vytočí modem a připojí se OK a internet jde.
Jako LAN1 jsem si nastavil druhý WAN2, ten je momentálně nastavený jako DHPC a od klfree.net dostane IP adresu v pořádku tj. 10.102.75.12. Turris je zapojený přes NanoStation2, ten je v režimu také bridge s IP 10.102.75.11, nastavenu staticky.

Jakmile odepnu WAN (O2 kabel) nebo přepnu multiwan Default Route na wan2 tak bohužel nejde net od klfree.net. Zkoušel jsem i adresu si nastavit staticky přímo v Turrisu a to také nepomohlo.

Zkoušel jsem, zda není chyba v klfree.net - NENÍ
- kabel od NanoStation2 jsem zapojil do mého PC, u klfree.ne jsem změnil MAC adresu a dostal jsem přidělenou DHCP klfree.net IP 10.102.75.12, zkusil jsem internet a jde v pořádku.
- ještě jsem zkusil si IP adresu přidělit staticky do PC a to také prošlo v pořádku

Dále jsem zkoušel nastavit NanoStation2 do režimu Router a připojit Turris pomocí DHCP k NanoStation2 pomocí routeru a to FUNGOVALO (resp. šel net na nové WAN, ale nejde přepínání v případě nefunkčnosti prvního WAN), ale toto nechci, chtěl bych to mít mít nastaveno v režimu bridge.

Bohužel si už nevím rady a prosím někoho, kdo má lepší znalosti, zda by mě mohl pomoci.

Nastavení NanoStation2

Nastavení Turris

/etc/config/dhcp

config dnsmasq
  option domainneeded '1'
  option boguspriv '1'
  option filterwin2k '0'
  option localise_queries '1'
  option rebind_protection '1'
  option rebind_localhost '1'
  option local '/lan/'
  option domain 'lan'
  option expandhosts '1'
  option nonegcache '0'
  option authoritative '1'
  option readethers '1'
  option leasefile '/tmp/dhcp.leases'
  option resolvfile '/tmp/resolv.conf.auto'
  option port '0'

config dhcp 'lan'
  option interface 'lan'
  option start '100'
  option limit '150'
  option leasetime '12h'
  list dhcp_option '6,192.168.1.1'

config dhcp 'wan'
  option interface 'wan'
  option ignore '1'

config dhcp 'wan2'
  option interface 'wan2'
  option ignore '1'

/etc/config/firewall


config defaults
  option syn_flood '1'
  option input 'ACCEPT'
  option output 'ACCEPT'
  option forward 'REJECT'

config zone
  option name 'lan'
  option input 'ACCEPT'
  option output 'ACCEPT'
  option forward 'ACCEPT'
  option network 'lan'

config zone
  option name 'wan'
  option input 'REJECT'
  option output 'ACCEPT'
  option forward 'REJECT'
  option masq '1'
  option mtu_fix '1'
  option log 'true'
  option log_prefix 'turris-000000: '
  option log_limit '60/minute'
  option log_level 'debug'
  option network 'wan wan6 wan2'

config forwarding
  option src 'lan'
  option dest 'wan'

config rule
  option name 'Allow-DHCP-Renew'
  option src 'wan'
  option proto 'udp'
  option dest_port '68'
  option target 'ACCEPT'
  option family 'ipv4'

config rule
  option name 'Allow-Ping'
  option src 'wan'
  option proto 'icmp'
  option icmp_type 'echo-request'
  option family 'ipv4'
  option target 'ACCEPT'

config rule
  option name 'Allow-DHCPv6'
  option src 'wan'
  option proto 'udp'
  option src_ip 'fe80::/10'
  option src_port '547'
  option dest_ip 'fe80::/10'
  option dest_port '546'
  option family 'ipv6'
  option target 'ACCEPT'

config rule
  option name 'Allow-ICMPv6-Input'
  option src 'wan'
  option proto 'icmp'
  list icmp_type 'echo-request'
  list icmp_type 'echo-reply'
  list icmp_type 'destination-unreachable'
  list icmp_type 'packet-too-big'
  list icmp_type 'time-exceeded'
  list icmp_type 'bad-header'
  list icmp_type 'unknown-header-type'
  list icmp_type 'router-solicitation'
  list icmp_type 'neighbour-solicitation'
  list icmp_type 'router-advertisement'
  list icmp_type 'neighbour-advertisement'
  option limit '1000/sec'
  option family 'ipv6'
  option target 'ACCEPT'

config rule
  option name 'Allow-ICMPv6-Forward'
  option src 'wan'
  option dest '*'
  option proto 'icmp'
  list icmp_type 'echo-request'
  list icmp_type 'echo-reply'
  list icmp_type 'destination-unreachable'
  list icmp_type 'packet-too-big'
  list icmp_type 'time-exceeded'
  list icmp_type 'bad-header'
  list icmp_type 'unknown-header-type'
  option limit '1000/sec'
  option family 'ipv6'
  option target 'ACCEPT'

config include
  option path '/etc/firewall.user'

config include
  option path '/usr/share/firewall/turris'
  option reload '1'

/etc/config/multiwan


config multiwan 'config'
  option enabled '1'
  option default_route 'wan'

config interface 'wan'
  option weight '10'
  option health_interval '10'
  option icmp_hosts 'dns'
  option timeout '3'
  option health_fail_retries '3'
  option health_recovery_retries '5'
  option dns 'auto'
  option failover_to 'wan2'

config interface 'wan2'
  option weight '10'
  option health_interval '10'
  option icmp_hosts 'dns'
  option timeout '3'
  option health_fail_retries '3'
  option health_recovery_retries '5'
  option failover_to 'wan'
  option dns 'auto'

config mwanfw
  option dst '10.102.75.11'
  option wanrule 'wan2'

config mwanfw
  option dst '10.102.0.252'
  option wanrule 'wan2'

config mwanfw
  option dst '10.102.0.253'
  option wanrule 'wan2'

/etc/config/network


config interface 'loopback'
  option ifname 'lo'
  option proto 'static'
  option ipaddr '127.0.0.1'
  option netmask '255.0.0.0'

config globals 'globals'
  option ula_prefix 'auto'

config interface 'lan'
  option type 'bridge'
  option proto 'static'
  option ipaddr '192.168.1.1'
  option netmask '255.255.255.0'
  option ip6assign '60'
  option _orig_ifname 'eth0 eth1 wlan0'
  option _orig_bridge 'true'
  option ifname 'eth1'

config interface 'wan'
  option ifname 'eth2'
  option proto 'pppoe'
  option username 'o2'
  option password 'o2'
  option ipv6 '1'

config interface 'wan6'
  option ifname '@wan'
  option proto 'dhcpv6'

config switch
  option name 'switch0'
  option reset '1'
  option enable_vlan '1'

config switch_vlan
  option device 'switch0'
  option vlan '1'
  option ports '0 1 2 3 4 '

config switch_vlan
  option device 'switch0'
  option vlan '2'
  option ports '5 6'

config interface 'wan2'
  option ifname 'eth0'
  option _orig_ifname 'eth0'
  option _orig_bridge 'false'
  option proto 'dhcp'

Pokud budete k tomu potřebovat ještě nějaké konfiguráky nebo další info, rád sdělím. Všem dopředu děkuji moc za radu.

Od milanroubal (>)

Dne 2014-06-18 10:31

podarilo se to zprovoznit? Hral jsem si ted 2 dny s Multiwan, nez mi to zacalo behat, tak bych mozna poradil.

Od Pavel Dvořák

Dne 2014-06-23 08:43

Bohužel jsem to nezprovoznil stále :(

Jde o to, že jakmile zapojím multiWAN ihned mě to odpojí od internetu a podle mě to neustále přepíná mezi jedním wan a druhým.

zkusil jsem nastavit pingování na jiné ip než brány například google ip 8.8.8.8 a dělá to to samé.

Od milanroubal (>)

Dne 2014-06-23 09:30

co ukazuje
ip route show table 170
ip route show table 171
ip route show table 172
?

Od Pavel Dvořák

Dne 2014-06-23 11:54

Nic když to spustím nic to nedělá

root@gate1:~# ip route show table 170
root@gate1:~# ip route show table 171
root@gate1:~# ip route show table 172
root@gate1:~#

Od milanroubal (>)

Dne 2014-06-23 11:56

no ty tabulky se naplni jen v pripade, ze se spusti sluzba multiwan. Bez toho jsou prazdne.

Od Pavel Dvořák

Dne 2014-06-23 12:08

root@gate1:~# ip route show table 170
88.103.200.47 dev pppoe-wan proto kernel scope link src 90.177.xxx.xxx
192.168.1.0/24 dev br-lan proto kernel scope link src 192.168.1.1
192.168.3.0/24 dev wlan0-1 proto kernel scope link src 192.168.3.1
root@gate1:~#
root@gate1:~#
root@gate1:~# ip route show table 171
default via 88.103.200.47 dev pppoe-wan proto static src 90.177.xxx.xxx
88.103.200.47 dev pppoe-wan proto kernel scope link src 90.177.xxx.xxx
192.168.1.0/24 dev br-lan proto kernel scope link src 192.168.1.1
192.168.3.0/24 dev wlan0-1 proto kernel scope link src 192.168.3.1
root@gate1:~#
root@gate1:~#
root@gate1:~# ip route show table 172
88.103.200.47 dev pppoe-wan proto kernel scope link src 90.177.xxx.xxx
192.168.1.0/24 dev br-lan proto kernel scope link src 192.168.1.1
192.168.3.0/24 dev wlan0-1 proto kernel scope link src 192.168.3.1
root@gate1:~#
root@gate1:~#

Od milanroubal (>)

Dne 2014-06-23 11:57

a jeste by to chtelo vypis

iptables -t mangle -nL

open po spusteni sluzby multiwan

Od Pavel Dvořák

Dne 2014-06-23 12:09

root@gate1:~# iptables -t mangle -nL
Chain PREROUTING (policy ACCEPT)
target    prot opt source    destination
MultiWan   all -- 0.0.0.0/0 0.0.0.0/0
fwmark    all -- 0.0.0.0/0 0.0.0.0/0

Chain INPUT (policy ACCEPT)
target    prot opt source    destination

Chain FORWARD (policy ACCEPT)
target    prot opt source    destination
MultiWan   all -- 0.0.0.0/0 0.0.0.0/0
mssfix    all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target    prot opt source    destination
MultiWan   all -- 0.0.0.0/0 0.0.0.0/0

Chain POSTROUTING (policy ACCEPT)
target    prot opt source    destination
MultiWan   all -- 0.0.0.0/0 0.0.0.0/0

Chain FW1MARK (12 references)
target    prot opt source    destination
MARK    all -- 0.0.0.0/0 0.0.0.0/0 MARK set 0x10
CONNMARK   all -- 0.0.0.0/0 0.0.0.0/0 CONNMARK save

Chain FW2MARK (6 references)
target    prot opt source    destination
MARK    all -- 0.0.0.0/0 0.0.0.0/0 MARK set 0x20
FW1MARK all -- 0.0.0.0/0 0.0.0.0/0
CONNMARK   all -- 0.0.0.0/0 0.0.0.0/0 CONNMARK save

Chain FastBalancer (0 references)
target    prot opt source    destination
MARK    all -- 0.0.0.0/0 0.0.0.0/0 MARK set 0x2
CONNMARK   all -- 0.0.0.0/0 0.0.0.0/0 CONNMARK save

Chain LoadBalancer (0 references)
target    prot opt source    destination
MARK    all -- 0.0.0.0/0 0.0.0.0/0 MARK set 0x1
CONNMARK   all -- 0.0.0.0/0 0.0.0.0/0 CONNMARK save

Chain MultiWan (4 references)
target    prot opt source    destination
CONNMARK   all -- 0.0.0.0/0 0.0.0.0/0 CONNMARK restore
MultiWanPreHandler all -- 0.0.0.0/0 0.0.0.0/0
MultiWanRules all -- 0.0.0.0/0 0.0.0.0/0
MultiWanLoadBalancer all -- 0.0.0.0/0 0.0.0.0/0
MultiWanDNS all -- 0.0.0.0/0 0.0.0.0/0
MultiWanPostHandler all -- 0.0.0.0/0 0.0.0.0/0

Chain MultiWanDNS (1 references)
target    prot opt source    destination
FW1MARK tcp -- 0.0.0.0/0 194.228.41.65 tcp dpt:53
FW1MARK udp -- 0.0.0.0/0 194.228.41.65 udp dpt:53
FW1MARK tcp -- 0.0.0.0/0 194.228.41.113    tcp dpt:53
FW1MARK udp -- 0.0.0.0/0 194.228.41.113    udp dpt:53
FW1MARK tcp -- 0.0.0.0/0 194.228.41.65 tcp dpt:53
FW1MARK udp -- 0.0.0.0/0 194.228.41.65 udp dpt:53
FW1MARK tcp -- 0.0.0.0/0 194.228.41.113    tcp dpt:53
FW1MARK udp -- 0.0.0.0/0 194.228.41.113    udp dpt:53

Chain MultiWanLoadBalancer (1 references)
target    prot opt source    destination

Chain MultiWanPostHandler (1 references)
target    prot opt source    destination
FW1MARK all -- 0.0.0.0/0 0.0.0.0/0 mark match 0x1
FW2MARK all -- 0.0.0.0/0 0.0.0.0/0 mark match 0x1

Chain MultiWanPreHandler (1 references)
target    prot opt source    destination
FW1MARK all -- 0.0.0.0/0 0.0.0.0/0 state NEW
FW2MARK all -- 0.0.0.0/0 0.0.0.0/0 state NEW

Chain MultiWanRules (1 references)
target    prot opt source    destination
FW2MARK all -- 0.0.0.0/0 10.102.75.11    mark match 0x0
FW2MARK all -- 0.0.0.0/0 10.102.0.252    mark match 0x0
FW2MARK all -- 0.0.0.0/0 10.102.0.253    mark match 0x0
FW2MARK all -- 0.0.0.0/0 81.201.48.36    mark match 0x0
FW1MARK all -- 0.0.0.0/0 0.0.0.0/0 mark match 0x0

Chain fwmark (1 references)
target    prot opt source    destination

Chain mssfix (1 references)
target    prot opt source    destination
TCPMSS    tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 /* wan (mtu_fix) */ TCPMSS clamp to PMTU
TCPMSS    tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 /* wan (mtu_fix) */ TCPMSS clamp to PMTU
root@gate1:~#

Od Pavel Dvořák

Dne 2014-06-23 12:11

Zatím do WAN2 nemám zapojený žádný kabel, protože jakmile ho zapojím tak to celé zkolabuje.

Od milanroubal (>)

Dne 2014-06-23 12:24

no zrovna jsem to chtel napsat, ze tam to WAN2 nikde nevidim. Ale bez toho se nehneme dale, potrebujeme videt ty vypisy po pripojeni WAN2. Tedy neprve pripojit kabel, pak spustit sluzbu multiwan a pak poslat ty vypisy. Pokud to meni to pripojeni na druhou wan samo, tak spustit ty same vypisy po 30 sekundach pro porovnani.

Od Pavel Dvořák

Dne 2014-06-23 12:27

To bohužel nyní udělat nemohu, tyto výpisy jsem dělal na dálku - nejsem nyní fyzicky přítomen u Turrisu. Tam budu až o víkendu, tak to provedu a výpisy zašlu i pro porovnání po minutě i 30s.

díky zatím za rady

Od milanroubal (>)

Dne 2014-06-23 12:49

Ok. Jeste pro upresneni, jak to ma fungovat. Ted je to nastavene tak, ze by se mela rozkladat zatez pul na pul. To je zadany stav, nebo ma to druhe pripojeni slouzit jako zaloha a routovat traffic jen kdyz nejede to hlavni spojeni?

Moznosti, co je dobre vyzkouset je, zda ta druha strana, tedy ty GW, vubec vraci odpoved na ping. Pokud ty odpovede filtruji, pak se samozrejme takova masina pro monitorovani stavu pripojeni pouzit neda.
Takze bych to videl na zmenu v konfiguraci pro otestovani takto:

option weight 'disabled'
option icmp_hosts 'prvni adresa za GW'

kde prvni adresa za GW se da zjistit tak, ze se provede traceroute -n www.google.com a zjisti se, zda odpovida na PING. Dale je take dobre na pevno specifikovat, ze na tu GW se da dostat jen pres rozhrani WAN, jinak dojde k tomu, ze se ta adresa da pingnout i pres to druhe rozhrani a to prepinani by zacalo cyklovat (to je mozna to, co se prave deje).

No a analogicky pak pro WAN2.

Od Pavel Dvořák

Dne 2014-06-23 12:47

Zajímavé je, že nyní když jsem chtěl opět na dálku vypnout miltiwan tak se již nedá připojit a rodina doma hlásí výpadek internetu. Podle mě se to zase přeplo na druhý WAN aniž by tam byl zapojený kabel....

Od milanroubal (>)

Dne 2014-06-23 12:52

to je mozne.. Pak by melo ale stacit chvilku pockat, nez se to zase prepne zpet, v ten okamzik se pripojit a multiwan vypnout. Ale ten casovy internal je dost kratky :)