Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Aiuto con OPENVPN & ZS e Load Balancing.

 
Nuovo argomento   Rispondi    Indice del forum -> Reti
Precedente :: Successivo  
Autore Messaggio
claracom



Registrato: 12/10/08 16:40
Messaggi: 6

MessaggioInviato: Ven Feb 13, 2009 2:21 pm    Oggetto: Aiuto con OPENVPN & ZS e Load Balancing. Rispondi citando

Buongiorno a tutti voi oltre che a Fulvio.

Abbiamo realizzato una soluzione ZS nel nostro ufficio e abbiamo 2 piccoli problemi e ci servirebbe il vostro aiuto per risolverli.

Parto con riportarvi stringatamente la nostra configurazione:
WAN1 con IP Publlico in Load Balancing con WAN2 con IP Pubblico,
LAN IP 10.0.1.1/255.255.255.0
VPN IP 10.0.2.1/255.255.255.0

Abbiamo attivato il Captive, il Proxy e l'Antivirus tutto in modalità Routing.

Il primo problemino riguarda la VPN tramite OpenVPN.
Abbiamo configurato il nostro ZS come indicato nel manuale che si trova sul sito (ovviamente adattandolo alle nostre esigenze), abbiamo installato e configurato il client VPN su un nostro Portatile WindowsXP che lavora fuori sede e abbiamo provato ad effettuare la connessione VPN.

Al primo tentativo tutto ok, al nostro Portatile fuori sede viene assegnato un IP della stessa classe della VPN (10.0.2.x), il PC fuori sede naviga su internet uscendo dal Gateway di Zeroshell come se fosse parte integrante della nostra rete di ufficio ma non fa altro!!!

Nello specifico dal nostro Portatile fuori sede non vediamo ne pinghiamo null'altro della rete.
Ad esempio se voglio entrare nel NAS o su una Telecamera IP interna non vediamo nulla.

A questo punto abbiamo provato a cercare sul forum la soluzione ma questa volta non ci siamo riusciti e a questo punto abbiamo deciso di chiedere il vostro contributo.

Cosa può essere sbagliato nella configurazione della VPN che non ci permette di andare avanti?

Il secondo quesito è un po' più squisitamente tecnico e vorrei che fosse letto come un opportunità per un aggiornamento.
Parliamo del Net Balancing così come effettuato da ZS.
Se non ho capito male ZS bilancia i carichi sulle "n" ADSL randomicamente.
A noi è successo che lasciando il bilanciamento automatico quando si entrava tramite un PC in un area riservata (es. Internet Bancking, Web Mail, ecc.) dopo pochi secondi la stessa area riservata ci buttava fuori dicendoci che la nostra sessione era scaduta.
Abbiamo provato in tutti i modi di risolvere il problema non riuscendo a capire a cosa era dovuto, pensavano al firewall, al captive ma non pensavamo al Net Balancing.
Stessa cosa accadeva se si facevano delle telefonate il VOIP by Provider con dei telefoni IP che stavano dietro allo ZS, la telefonata era pessima in quanto si perdevano un sacco di pacchetti per effetto del bilanciamento randomico.

Abbiamo provato a bilanciare il carico manualmente e tutto è ok, abbiamo obbligato dei pc ad uscire da una determinata wan e adesso funziona tutto bene.

A questo punto la domanda sorge spontanea (come diceva il vecchio Lubrano)... Si potrebbe pensare ad un bilanciamento dei carichi automatico per destinazione o per sessione.
Per capirci possiamo dire a ZS che se il Telefono VoIP è uscito la prima volta dalla WAN1 non deve spostarlo sulla WAN2 per effetto del bilanciamento?
In tal modo il bilanciamento sarebbe fatto meglio e sopratutto non lascerebbe, come nell'esempio del bilanciamento manuale, il pc indirizzato ad uscire da una WAN senza internet nel caso in cui la stessa WAN vada giù.

Sicuro del vostro aiuto vorremmo contribuire anche noi fattivamente a questo progetto come possiamo fare?

Rocco
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Ven Feb 13, 2009 5:44 pm    Oggetto: Rispondi citando

Citazione:

Al primo tentativo tutto ok, al nostro Portatile fuori sede viene assegnato un IP della stessa classe della VPN (10.0.2.x), il PC fuori sede naviga su internet uscendo dal Gateway di Zeroshell come se fosse parte integrante della nostra rete di ufficio ma non fa altro!!!


L'interfaccia che collega il VPN box alla LAN è in NAT? postate più dettagli sulla topologia di rete, magari con un duagramma di rete.

Per quel che riguarda il mantenimento delle connessioni nel Net Balancer, parte di quello che dite è già stato implementato. Infatti, dopo i pacchetti iniziali di una connessione avviene un mark che vincola automaticamente la connessione ad una WAN evitandone il bilanciamento. Controllero' per la prossima release se c'e' qualche proplema sul connection trackink del protocollo SIP.

Saluti
Fulvio
Top
Profilo Invia messaggio privato
claracom



Registrato: 12/10/08 16:40
Messaggi: 6

MessaggioInviato: Ven Feb 13, 2009 5:51 pm    Oggetto: Rispondi citando

Per la VPN è tutto ok risolto era semplicemente un problema sul Client.

Per il bilanciamento però ti confermo che questo problema c'è ancora.

Ho riprovato da poco a collegarmi alla mia WebMail e mi da lo stesso errore.
Ho verificato con quale IP uscivo ed in modo randomico cambiava quasi ad ogni clik.
Ho fatto le prove con www.ilmioip.it ed ad ogni aggiornamento mi cambiava l'IP Wan della Nostra Rete.

Forse sul nostro ZS questa funzione di Mark non è abilitata?
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Ven Feb 13, 2009 7:40 pm    Oggetto: Rispondi citando

Il mark nella tabella di mangle agisce solo sulla singola connessione TCP/UDP. E' ovvio che quando accedi invece ad un sito web apri diverse connessioni TCP e qui non saprei come evitare che queste possano essere smistate su gateway differenti. Purtroppo alcuni applicativi web hanno la cattiva abitudine di autenticare anche in base all'indirizzo IP. So che molti bilanciatori di traffico, anche commerciali, hanno questo problema. Al momento non conosco una soluzione.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
claracom



Registrato: 12/10/08 16:40
Messaggi: 6

MessaggioInviato: Dom Feb 15, 2009 11:08 am    Oggetto: Rispondi citando

Grazie Fulvio per la tua risposta.
Avevo letto in giro del bilanciamento automatico su destinazione fatto su Linux.
Se ne trovo copia te la mando così magari ci lavoriamo insieme.

Comunque volevo farti i nostri complimenti, la tua distribuzione è veramente completa.

Confermo la nostra volontà di collaborare con il progetto, dicci come e noi ci organizziamo.

Rocco
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Dom Feb 15, 2009 12:19 pm    Oggetto: Rispondi citando

Grazie per l'offerta di aiuto. Penso che prima della versione 1.0.0 che rappresentera' la prima versione non beta ci sara' ancora la beta12 e al massimo la beta13. Diciamo che per dopo l'estate si dovrebbe arrivare a tale release che includerà anche qualche forma di strumento collaborativo, ma ancora devo capire in che modo.
Al momento la cosa utilissima che potreste fare sarebbe di scrivere della documentazione nel Wiki o direttamente in un vostro documento pdf/html che io collegherei nella pagina di documentazione.

Grazie ancora
Fulvio
Top
Profilo Invia messaggio privato
claracom



Registrato: 12/10/08 16:40
Messaggi: 6

MessaggioInviato: Ven Feb 20, 2009 1:07 pm    Oggetto: Rispondi citando

Ciao Fulvio,
abbiamo effettuato altre prove sul bilanciamento manuale ma abbiamo ancora problemi.

Abbiamo imposto che i nodi della rete interna da 10.0.1.2 a 10.0.1.100 escano dalla WAN 1 mente quelli da 10.0.1.101 a 10.0.0.200 escano dalla WAN 2.

Ma quando cerco di verificare se tale regola è corretta vengo puntualmente smentito in quanto continua a fare il NetBalancing randomico.

Potrei cortesemente avere delle delucidazioni su eventuali operazione errate da me svolte???
Grazie
Top
Profilo Invia messaggio privato
giuseppe



Registrato: 12/12/08 10:09
Messaggi: 96

MessaggioInviato: Mar Mar 17, 2009 5:44 pm    Oggetto: Rispondi citando

Salve a tutti,
mi accodo a questa discussione, perchè lo stesso problema su protocollo Sip lo riscontro con il bilanciamento.
Dietro ZS c'e' un server asterisk, che si deve registrare sui server di eutelia, ma questa registrazione non avviene regolarmente, anche impostando zs in modo tale da inoltrare tutto il traffico proveniente da Asterisk verso la wan1.
La cosa strana è questa:
la procedura di registrazione di asterisk parte ma non riceve nessuna risposta, nei log leggo autenticazione richiesta.
Se cambio gw al server asterisk si registra regolarmente.

C'e' soluzione per questo problema?

Ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Reti Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it