πως να δώσω προτεραιότητα σε συγκεκριμένο pc, με OpenWRT και MWAN3

[bobptz]

Σε router που έχει OpenWRT, mwan3 και δύο WANs, θέλω να δημιουργήσω έναν κανόνα (work-rule) που θα δώσει προτεραιότητα σε συγκεκριμένο υπολογιστή (ας το ονομάσουμε work-pc) στο LAN.

 

Για το σκοπό αυτό του έχω δώσει μια στατική διεύθυνση IP (π.χ. 192.168.1.5). Βάζω το work-rule ψηλά στον πίνακα των rules ώστε να έχει προτεραιότητα και του δίνω μικρές τιμές για metric values και υψηλές για weight.

 

Μέχρι εδώ σωστά τα κάνω?

 

Υπάρχει όμως το HTTPS sticky rule, το οποίο κατευθύνει τα https sessions να βγαίνουν από το ίδιο wan. Αν το https rule το βάλω πιο κάτω από work rule, τότε το work-pc θα αγνοεί το https rule και θα έχει πρόβλημα στα https sites. Σωστα?

 

Άρα μία λύση είναι να βάλω το https rule πιο πάνω από το work-rule. Ναι αλλά τότε το work-pc δε θα έχει καμία προτεραιότητα έναντι των άλλων pc όταν όλοι θα μπαίνουνε σε https sites.

 

Πως λοιπόν μπορώ να δώσω προτεραιότητα στο work-pc ακόμα και για https sites?

 

Βασικά θέλω να κάνω να ισχύουν όλα τα υπόλοιπα rules και για το work-pc, απλά θέλω το work-pc να έχει προτεραιότητα έναντι όλων των άλλων pc.

 

Ακούγεται απλό αλλά δε βλέπω πως μπορεί να γίνει.

[bobptz]

Εδώ έχω βάλει ένα παράδειγμα.  Θέλω να δώσω προτεραιότητα στο pc με static LAN IP 192.168.1.50.  Μέχρι εδώ το έκανα σωστά? 

 

 

Να ρωτήσω κάτι άλλο.  Στο https rule, το destination port 443.  Είναι το Port του δικού μου pc, ή το port του server που φιλοξενεί το https site?

Επεξ/σία 30 Δεκεμβρίου 2015 από bobptz

[DioNiSis_000]

η εικονα που εχεις βαλει δεν φαίνεται

 

απο αυτα που γραφεις αν καταλαβαινω καλα πας να φτιαξεις έναν κανόνα μεσα στις ρυθμισεις του mwan3?

αν ναι αυτο ειναι λαθως, εκει ρυθμιζεις μονο με τι policy θα χρησιμοποιεί το pc τις wan συνδεσεις σου.

εσυ θελεις σε ενα απο τα pc σου να δωσεις μεγαλύτερη προτεραιότητα εναντι των αλλων.

αυτο θα μπορουσε να γινει με qos οπου θα βαλεις την source ip του work-pc να εχει υψηλότερο priority έναντι των αλλων.

 

αν εννοείς στο mwan3 το https rule, το destination port 443 ειναι το port του server που φιλοξενεί το https site.

[bobptz]

η εικονα που εχεις βαλει δεν φαίνεται

 

απο αυτα που γραφεις αν καταλαβαινω καλα πας να φτιαξεις έναν κανόνα μεσα στις ρυθμισεις του mwan3?

αν ναι αυτο ειναι λαθως, εκει ρυθμιζεις μονο με τι policy θα χρησιμοποιεί το pc τις wan συνδεσεις σου.

εσυ θελεις σε ενα απο τα pc σου να δωσεις μεγαλύτερη προτεραιότητα εναντι των αλλων.

αυτο θα μπορουσε να γινει με qos οπου θα βαλεις την source ip του work-pc να εχει υψηλότερο priority έναντι των αλλων.

 

αν εννοείς στο mwan3 το https rule, το destination port 443 ειναι το port του server που φιλοξενεί το https site.

To image το έφτιαξα (είναι το http://s22.postimg.org/va7d4w7qp/rules2.png )

 

Ναι, θέλω να το κάνω μέσα από τις ρυθμίσεις του mwan3.   Δες τι έκανα και πες μου γιατί είναι λάθος?

 

 

>>>

αυτο θα μπορουσε να γινει με qos οπου θα βαλεις την source ip του work-pc να εχει υψηλότερο priority έναντι των αλλων.

<<<

1) Αυτό ακριβώς προσπαθώ να κάνω με το mwan3.  ΑΠλά δεν ξέρω πως να το τεστάρω.

2) Και πως γίνεται με QoS?  Έχω το sqm-scripts, δεν είδα κάτι ανάλογο.

[DioNiSis_000]

δεν εχω βαλει εγω qos στο δικο μου να σου πω ακριβώς, αλλα  απο μια αναζητηση που εκανα βρηκα το παρκατω

http://www.yourewinner.com/index.php?topic=15671.0δες το ποστ 12

 

στη εικονα οπως φαίνεται μπορεις να βαλεις στο source host την ip του work-pc και να βαλεις target να εχει μεγαλυτερη προτεραιότητα.

[bobptz]

DioNiSis_000

 

Ίσως να μην το έθεσα σωστά.  Δεν έχω το QoS αλλά ούτε και θέλω να το βάλω διότι έχω το SQM-QoS, το οποίο από ότι ξέρω δεν κάνει κάτι ανάλογο. 

 

Εγώ νόμιζα ότι μπορούσα να το κάνω με το mwan3.  Μπορείς να μου πείς που κατάλαβα λάθος?  Είδες το screenshot (που τώρα το έβαλα σωστά)?

[DioNiSis_000]

ειδα το screenshot, εχεις φτιαξει ενα rule για το work-pc να χρησιμοποιεί ενα policy που εχεις φτιαξει ειδικα γιαυτο, και οπως γραφεις εχεις δωσει στα members του χαμηλοτερα metrics και υψηλοτερα weights απο των υπόλοιπων policies.

αυτο που προσπαθεις να κανεις εγω νομιζω δεν γινεται.

αν δηλαδη μια policy εχει χαμηλοτερα metrics απο τις αλλες θα παρει μεγαλυτερη προτεραιοτητα?

τα metrics τα χρησημοποιεις μονο για να ορισεις αν θα γινεται η κινηση balanced ή οχι, και αν δεν γινεται balanced με ποια σειρα θα χρησιμοποιούνται οι wan ωστε οταν πέφτει η μια να αναλαμβάνει η αλλη.

οσον αφορα τα weights αν δωσεις πχ σε μια policy weight 5 και στις 2 wan η κινηση θα μοιραστει 50% σε καθε wan. αν δωσεις και στις 2 wan weight 40  παλι 50% σε καθε wan θα μοιραστει η κινηση.

[bobptz]

Μάλον έχεις δίκιο.  Τα διαφορετικά weights παίζουν ρόλο μέσα στο ίδιο policy, όχι σε διαφορετικά.  Να το configuration:

config policy 'work_p'
    list use_member 'work'
    list use_member 'work2'
    option last_resort 'unreachable'

config member 'work'
    option interface 'wan'
    option metric '1'
    option weight '10'

config member 'work2'
    option interface 'wan2'
    option metric '1'
    option weight '10'

Άρα αυτό που θέλω δε γίνεται με το mwan3.

[jkoukos]

Αν και δεν έχω ασχοληθεί με multi wan, αυτό που καταλαβαίνω (από το wiki) είναι ότι δεν μπορεί και δεν είναι δικιά του δουλεία η προτεραιότητα υπηρεσιών ή υπολογιστών έναντι κάποιων άλλων.

 

Αυτό που θέλεις είναι θέμα QoS, αλλά και πάλι κανονικά αυτό ορίζει και ρυθμίζει υπηρεσίες και όχι διευθύνσεις (συσκευές). Για τις δεύτερες χρειάζεται bandwidth management. Πολλές φορές αυτά τα 2 συνδέονται, αλλά το QoS είναι η καλύτερη πρακτική.

 

Με ένα καλό QoS κανονικά δεν χρειάζεται bandwidth management. Γιατί θα πρέπει να δώσεις στο PC1 μεγαλύτερο bandwidth έναντι των άλλων, όταν δίνοντας προτεραιότητα σε μια υπηρεσία (π.χ. voip) αυτή θα δουλεύει πάντα παίρνοντας αυτόματα το bandwidth που χρειάζεται, άσχετα αν όλα τα άλλα PC δουλεύουν torrents ή streaming.

[Επισκέπτης]

Αν θες να μάθεις περισσότερα γύρω απ´ το qos (και ιδιαίτερα τι συμβαίνει/υποστηρίζεται σε linux) δες τα παρακάτω links:

 

-- http://wiki.linuxwall.info/doku.php/en:ressources:dossiers:networking:traffic_control

 

-- http://web.opalsoft.net/qos/default.php?p=linux101-ds

 

-- http://luxik.cdi.cz/~devik/qos/htb/manual/userg.htm

 

-- http://lartc.org/#download

 

-- https://wiki.openwrt.org/doc/howto/sqm

 

-- https://wiki.openwrt.org/doc/uci/qos

 

Θα είναι χρήσιμα πιστεύω στο να καταλαβαίνεις λίγο καλύτερα τι χρειάζετε και τι μπορεί να κάνει σε επίπεδο qos το software που τρέχεις.

 

Φυσικά δεν υπάρχει περιορισμός στο πως θα κατηγοριοποιήσει κανείς την κίνηση στο δίκτυο του (source mac, source ip, source port, protocol number etc).

[bobptz]

Ευχαριστώ Koftis, θα τα δω.

 

Εγώ αυτό που είχα στο μυαλό μου είναι η δυνατότητα να ορίσω βάσει του source IP address (τα δικά μου pc), το application που τρέχω (πχ firefox, skype), το target server/website (πχ το insomnia.gr) και ίσως το target IP (το IP του insomnia.gr)

 

 

Να κάνω μια παρόμοια ερώτηση?  Επειδή λίγο μπερδεύτηκα και ισχύουνε διαφορετικά από αυτά που νόμιζα.

 

Ο Dionisis μου έδειξε πως να κάνω sticky rules για ορισμένα forums, ώστε να μη μας πετάνε έξω λόγω του διπλού IP.  Και πράγματι έφτιαξα κι εγώ. 

 

 

Αν όμως θέλω να έχω 5-6 pcs να μπαίνουνε συγχρόνως σε 5-6 forums.  Πως πρέπει να φτιάξω τα rules ώστε να υπάρχει Load-balance, να μη φορτώνουνε δηλαδή όλα τα Pc την ίδια συγκεκριμένη wan, όταν μπαίνουνε σε αυτά τα forums.

 

πχ αν μπω από δύο διαφορετικά pc στο ίδιο "περίεργο" forum και έχω κάνει rule, να μπαίνουνε από διαφορετικό wan.

[Επισκέπτης]

Θα πρέπει να μπορεί να γίνει πχ per flow load balancing. Όπου flow είναι συνδιασμός απο src ip, dst ip, src port, dst port και protocol. Μέσω των παραπάνω γινετε hashing και επιλέγετε ένα outgoing interface.

 

Καταλαβαίνω ότι κάτι τέτοιο υποστηρίζετε:

 

https://wiki.openwrt.org/doc/howto/mwan3

 

"Provides specific outbound traffic rules to customize which outbound connections should use which WAN interface

this can be customized based on source IP, destination IP, source port(s), destination port(s), type of IP protocol."

 

 

"Linux outgoing network traffic load-balancing is performed on a per-IP connection basis – it is not channel-bonding, where a single connection (e.g. a single download) will use multiple WAN connections simultaneously"

 

Δες και σχετικά στα φόρουμς που ουσιαστικά κάποιος θέλει να κανει το αντίθετο με sticky rules (user usi) για να έχει peristence στο wan interface (πχ σε sites τραπεζών):

 

https://forum.openwrt.org/viewtopic.php?id=39052&p=41

 

Επίσης περιγράφετε στο προηγούμενο link.

 

Δεν είμαι σίγουρος πάντος πως με sticky rules μπορείς να έχεις αυτήν την συμπεριφορά που θές μιας και καταλαβαίνω απ' το παράδειγμα πως ισχύει για όλους τους πελάτες ενός lan (βάση του rule) να χρησιμοποιούν την ίδια wan ip.

Επεξ/σία 1 Ιανουαρίου 2016 από Επισκέπτης

[Επισκέπτης]

Έχεις δοκιμάσει πχ αν απο διαφορετικά source ip / destination ip όπως έχεις τα sticky rules αν δουλεύει καταρχάς και τι κάνουν στην πράξη?

Αν η λογική τους είναι για οτιδήποτε ζυγού τύπου src ip και προορισμό οτιδήποτε προορισμό σε πόρτα 443 τότε βγές απ' το wan1. Αντίστοιχα για τα μονά src ip βγές απ' το wan2, πιθανόν να δουλεύει αυτό που θες ήδη.

[DioNiSis_000]

 

 

Αν όμως θέλω να έχω 5-6 pcs να μπαίνουνε συγχρόνως σε 5-6 forums.  Πως πρέπει να φτιάξω τα rules ώστε να υπάρχει Load-balance, να μη φορτώνουνε δηλαδή όλα τα Pc την ίδια συγκεκριμένη wan, όταν μπαίνουνε σε αυτά τα forums.

 

πχ αν μπω από δύο διαφορετικά pc στο ίδιο "περίεργο" forum και έχω κάνει rule, να μπαίνουνε από διαφορετικό wan.

αυτο που μπορεις να κανεις ειναι να να φτιαξεις rules σαν τα sticky_even sticky_odd στην εικονα οπου χωριζουν τις source address σε μονες ζυγες και στο destination address βαζεις τις διευθύνσεις "περίεργων" forum, τα  port άφηνε τα κενα.

 

κατι αλλο που εχω παρατηρησει να εχεις υποψην ειναι οτι για τα rules που φτιαχνεις οταν κοιτας στο mwan3 status θα πρεπει να μην φαινονται οι διευθησεις αλλα οι ιp, αλλιώς δεν λειτουργούν σωστα.

πχ αν εχεις φτιαξει rule για το insomnia, οταν πατας να δεις το status θα πρεπει να σου δεινει την ip του insomnia, αλλιως σημαίνει οτι εχεις γραψει τη διεύθυνση λαθως.

[bobptz]

κατι αλλο που εχω παρατηρησει να εχεις υποψην ειναι οτι για τα rules που φτιαχνεις οταν κοιτας στο mwan3 status θα πρεπει να μην φαινονται οι διευθησεις αλλα οι ιp, αλλιώς δεν λειτουργούν σωστα.

πχ αν εχεις φτιαξει rule για το insomnia, οταν πατας να δεις το status θα πρεπει να σου δεινει την ip του insomnia, αλλιως σημαίνει οτι εχεις γραψει τη διεύθυνση λαθως.

 

Για ποια οθόνη - status μιλάς?  Για το "MWAN Detailed Status"?

Active rules:    0     0 S youtube  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            match-set youtube dst multiport sports 0:65535 multiport dports 80,443     0     0 S https  tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            multiport sports 0:65535 multiport dports 443     0     0 - work_p  all  --  *      *       192.168.1.50         0.0.0.0/0                    7   336 - balanced  all  --  *      *       0.0.0.0/0            0.0.0.0/0

Πράγματι εδώ δε βλέπω ένα forum-rule και σήμερα έχω προβλήματα με αυτό.  Όμως πριν μερικές ημέρες έμπεινα κανονικά.