Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

VPN Bonding 2+2 connessioni internet

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
berengan



Registrato: 17/01/09 11:35
Messaggi: 5

MessaggioInviato: Sab Gen 17, 2009 4:26 pm    Oggetto: VPN Bonding 2+2 connessioni internet Rispondi citando

Ciao a tutti (mi sembra doveroso salutare visto che è il mio primo post...),

io sono di fronte ad uno scenario con 4 accessi ad internet distribuiti su due sedi.
mi spiego : nella sede A ho una connessione in fibra ed una adsl mentre nella sede B ho una connessione adsl ed un wifi aziendale ad ip statico.

Premetto che non sono interessato al grouping delle connessioni ma per me è più importante il fatto della continuità di servizio.

in questo momento ho attivi 2 ZS in versione vmware scaricati ed installati ieri. entrambe le macchine hanno 3 interfacce di rete LAN, INTERNET1 ed INTERNETe mappate come eth00,eth01 ed eth02.

Ho creato dell route statiche in modo che dalla INTERNET1 della sede A raggiundo INTERNET1 della sede B e che dalla INTERNET2 della sede A raggiungo la INTERNET2 della sede B e viceversa.

ho creato quindi 2 VPN
INTERNET1(A) <--> INTERNET1(B) <--- VPN00
INTERNET2(A) <--> INTERNET2(B) <--- VPN01

ho messo VPN00 e VPN01 in Bonding (Fault Tolerance only) ed ho assegnato al bonding un indirizzo IP sia per la sede A che per la sede B

Con un paio di route statiche ora instrado un paio di classi per lato del tunnel.

il mio problema è che il discorso del Fault Tolerance non funziona in quanto se stacco la ETH01 della virtual machine (o se la butto su n'altra interfaccia in modo che habbia link ma non il suo gateway) il traffico tra le reti non funziona più.

se però nella configurazione del BOND00 cambio in entrambe le sedi il link Primary e metto quello funzionante tutto torna a funzionare.

Ci ho perso un sacco di tempo sia ieri che oggi e non capisco da dove prendere il problema....

Grazie in anticipo a chi mi da una dritta
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Sab Gen 17, 2009 6:36 pm    Oggetto: Rispondi citando

Dopo qualche secondo (aspettane almeno 30 per sicurezza) che stacchi il link, dai il comando ps -ef |grep vpn su entrambi i router e postane il risultato. Dovrebbe partire un processo vpn_mii che gestisce il fault.
Ovvio che devi avere la beta11 su entrambi i peer.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
berengan



Registrato: 17/01/09 11:35
Messaggi: 5

MessaggioInviato: Sab Gen 17, 2009 7:04 pm    Oggetto: Rispondi citando

eccomi. grazie per la risposta.

*** PRIMA ***
SEDE A
root 4103 1 0 14:46 ? 00:00:00 openvpn --dev VPN01 --remote 1.2.3.4 --port 1196 --proto tcp-server --secret /tmp/VPN01.psk --dev-type tap --float --ping 1 --ping-restart 7 --management 127.0.0.1 34001 --daemon VPN01_L2L --comp-lzo --down /root/kerbynet.cgi/scripts/vpn_mii
root 15912 1 0 15:17 ? 00:00:01 openvpn --dev VPN00 --remote 5.6.7.8 --port 1195 --proto tcp-server --secret /tmp/VPN00.psk --dev-type tap --float --ping 1 --ping-restart 7 --management 127.0.0.1 34000 --daemon VPN00_L2L --comp-lzo --down /root/kerbynet.cgi/scripts/vpn_mii
SEDE B
root 4526 1 0 14:46 ? 00:00:00 openvpn --dev VPN01 --remote 11.12.13.14 --port 1196 --proto tcp-client --secret /tmp/VPN01.psk --dev-type tap --float --ping 1 --ping-restart 11 --management 127.0.0.1 34001 --daemon VPN01_L2L --comp-lzo --down /root/kerbynet.cgi/scripts/vpn_mii
root 14667 1 0 15:17 ? 00:00:01 openvpn --dev VPN00 --remote 15.16.17.18 --port 1195 --proto tcp-client --secret /tmp/VPN00.psk --dev-type tap --float --ping 1 --ping-restart 11 --management 127.0.0.1 34000 --daemon VPN00_L2L --comp-lzo --down /root/kerbynet.cgi/scripts/vpn_mii

*** DOPO 5 Minuti ***
SEDE A
root 4103 1 0 14:46 ? 00:00:00 openvpn --dev VPN01 --remote 1.2.3.4 --port 1196 --proto tcp-server --secret /tmp/VPN01.psk --dev-type tap --float --ping 1 --ping-restart 7 --management 127.0.0.1 34001 --daemon VPN01_L2L --comp-lzo --down /root/kerbynet.cgi/scripts/vpn_mii
root 15912 1 0 15:17 ? 00:00:01 openvpn --dev VPN00 --remote 5.6.7.8 --port 1195 --proto tcp-server --secret /tmp/VPN00.psk --dev-type tap --float --ping 1 --ping-restart 7 --management 127.0.0.1 34000 --daemon VPN00_L2L --comp-lzo --down /root/kerbynet.cgi/scripts/vpn_mii
root 25463 1 0 18:50 ? 00:00:00 /bin/sh /root/kerbynet.cgi/scripts/vpn_mii VPN00 1500 1579 init
SEDE B
root 4526 1 0 14:46 ? 00:00:00 openvpn --dev VPN01 --remote 11.12.13.14 --port 1196 --proto tcp-client --secret /tmp/VPN01.psk --dev-type tap --float --ping 1 --ping-restart 11 --management 127.0.0.1 34001 --daemon VPN01_L2L --comp-lzo --down /root/kerbynet.cgi/scripts/vpn_mii
root 14667 1 0 15:17 ? 00:00:01 openvpn --dev VPN00 --remote 15.16.17.18 --port 1195 --proto tcp-client --secret /tmp/VPN00.psk --dev-type tap --float --ping 1 --ping-restart 11 --management 127.0.0.1 34000 --daemon VPN00_L2L --comp-lzo --down /root/kerbynet.cgi/scripts/vpn_mii
root 29957 1 0 18:50 ? 00:00:00 /bin/sh /root/kerbynet.cgi/scripts/vpn_mii VPN00 1500 1579 init


su entrambi i nodi ho installato ZeroShell-1.0.beta11-VMWARE
con l'unica differenza (che penso non sia il problema) che una delle 2 gira su un ESX 3.5 e l'altra su un vmware-server.

ciao.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Sab Gen 17, 2009 11:13 pm    Oggetto: Rispondi citando

OpenVPN rivela correttamente il blocco. La conseguenza è che l'interfaccia VPN00 dovrebbe essere posta in down. Verificalo con ifconfig VPN00 e ifconfig VPN01 sulle due sedi. Magari posta il risultato cosi' lo interpretiamo insieme al [View] delle interfacce di bonding.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
berengan



Registrato: 17/01/09 11:35
Messaggi: 5

MessaggioInviato: Dom Gen 18, 2009 12:01 am    Oggetto: Rispondi citando

allora.
nella web interface trovo sia nella sede A che nella sede B nello stato "BOND00 (VPN00,VPN01) Link UP -- VPN00:Down VPN01:Up "

nella console sia dalla sede A che B
BOND00 - Bonding VPN
Status: Link UP -- VPN00:Down VPN01:Up

un ifconfig VPN00 ; ifconfig VPN01 sulla sede A
VPN00 Link encap:Ethernet HWaddr 00:FF:5D:F1:00:54
BROADCAST SLAVE MULTICAST MTU:1500 Metric:1
RX packets:28780 errors:0 dropped:0 overruns:0 frame:0
TX packets:35506 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:3791583 (3.6 Mb) TX bytes:22195919 (21.1 Mb)

VPN01 Link encap:Ethernet HWaddr 00:FF:5D:F1:00:54
UP BROADCAST RUNNING SLAVE MULTICAST MTU:1500 Metric:1
RX packets:2701 errors:0 dropped:0 overruns:0 frame:0
TX packets:3390 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:297379 (290.4 Kb) TX bytes:2037153 (1.9 Mb)

un ifconfig VPN00 ; ifconfig VPN01 sulla sede B
VPN00 Link encap:Ethernet HWaddr 00:FF:5E:EC:BA:48
BROADCAST SLAVE MULTICAST MTU:1500 Metric:1
RX packets:35482 errors:0 dropped:0 overruns:0 frame:0
TX packets:28819 errors:0 dropped:10 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:22189256 (21.1 Mb) TX bytes:3796572 (3.6 Mb)

VPN01 Link encap:Ethernet HWaddr 00:FF:5E:EC:BA:48
UP BROADCAST RUNNING SLAVE MULTICAST MTU:1500 Metric:1
RX packets:3390 errors:0 dropped:0 overruns:0 frame:0
TX packets:2701 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:100
RX bytes:2037153 (1.9 Mb) TX bytes:297379 (290.4 Kb)


quindi il link VPN00 è correttamente in down.
faccio di più: chiudo a mano la VPN in modo che non sia + in connecting ma il risultato non cambia : Destination host unreachable.

se vuoi altre cose più specifice chiedi pure: sono a tua disposizione.

ciao e grazie.

PS: posso fare tutti i test che vogliamo tra sabato e domenica... da lunedì una VPN la devo lasciare attiva che ci devono lavorare Wink
Top
Profilo Invia messaggio privato
berengan



Registrato: 17/01/09 11:35
Messaggi: 5

MessaggioInviato: Mar Gen 20, 2009 12:07 pm    Oggetto: Rispondi citando

Ciao Fulvio,

oggi ho notato questo messaggio :

bonding: Warning: either miimon or arp_interval and arp_ip_target module parameters must be specified, otherwise bonding will not detect link failures! see bonding.txt for details.

ho notato inoltre la modifica da
modprobe bonding mode=$MODE miimon=100 use_carrier=0 updelay=7000 -o$BOND

a

modprobe bonding mode=$MODE -o$BOND

nel file mkbonddev....

potrebbe essere qui intorno il mio problema ?

Grazie della tua disponibilità
Ciao
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mar Gen 20, 2009 7:55 pm    Oggetto: Rispondi citando

Fai un test configurando il bonding in Load balancing e fault tolerance per vedere se cambia qualcosa e fammi sapere.
Top
Profilo Invia messaggio privato
berengan



Registrato: 17/01/09 11:35
Messaggi: 5

MessaggioInviato: Gio Gen 22, 2009 3:03 pm    Oggetto: Rispondi citando

Eccomi, ho fatto la prova.

in configurazione load balancing funziona anche il failover.

purtroppo non posso tenere questa configurazione perchè le latenze delle coppie di linee sono parecchio diverse e lo noto sopratutto nel voip.
tentando di bilanciare il traffico la rete non ha problemi ma le telefonate sono veramente scandalose Wink

Posso provare qualche qualche altra cosa?
se vuoi, utenti permettendo, un po' di prove te le posso fare: sono un debianista da anni e mastico il mondo linux da più di 10 anni ergo non mi spavento se devo dare 4 comandi da console....

Ciao e grazie
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Gio Gen 22, 2009 7:04 pm    Oggetto: Rispondi citando

Non ho avuto modo di verificare, ma inizia a venirmi qualche dubbio sul buon funzionamento della modalita' di bonding in solo failover.
Senz'altro per la prossima release faccio dei test. Comunque, se non usi il bilanciamento del traffico a livello 2, puoi gestire il fault tramite il net balancer. In altre parole, invece di creare un bond di due VPN, crea una sola VPN e configurala per essere instaurata dal gateway primario. Se il collegamento associato a tale gateway va giu', sara' il net balancer a far switchare la VPN sul Gateway in spare.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
fabioseccia



Registrato: 19/07/08 07:02
Messaggi: 15

MessaggioInviato: Gio Gen 29, 2009 6:21 pm    Oggetto: Rispondi citando

Salve, anch'io oggi ho potuto sperimentare che il bonding in failover non funziona, o meglio, in automatico non passa sulla VPN attiva ma se su entrambe le sedi si forza in down la VPN scollegata, a quel punto il BOND si switcha sulla VPN attiva.
A questo punto, non sarebbe possibile aggiungere uno script magari in cron, che monitorizza lo stato delle due VPN e le forza in down come si fa da interfaccia web togliendo la spunta su "UP"?

Grazie e ciao.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Gio Gen 29, 2009 7:54 pm    Oggetto: Rispondi citando

In teoria si puo' fare, ma mi pare superfluo per 2 motivi:

1) Per la prossima release, ci do uno sguardo e penso che il problema sia da ricercare nei parametri con cui viene caricato il modulo kernel di bonding;

2) Mentre il bonding di VPN in load balancing e' indispensabile per avere connessioni layer 2 tra sedi remote con banda maggiore di quella di un singolo link, il bonding in solo failover è superfluo. Infatti, ti basta configurare il net balancer come descritto nel mio precedente post per ottenere comunque il fault tolerance del collegamento site-to-site.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
fabioseccia



Registrato: 19/07/08 07:02
Messaggi: 15

MessaggioInviato: Gio Gen 29, 2009 10:44 pm    Oggetto: Rispondi citando

Scusate se continuo a postare su questo argomento.
Vi rendo partecipi delle prove che sto effettuando con il bonding in solo failover (che nel mio caso è obbligatorio rispetto al netbalancing/failover e non gestibile con il cambio del default gw dal netbalancer generale).
Ho fatto la prova di configurazione del bonding in modalità broadcast (Type 3) cioè i pacchetti vengono inviati su entrambe le VPN contemporaneamente (tipo RAID 1 per i dischi) e devo dire che così il failover funziona perfettamente, non ho perdita di alcun pacchetto per neanche un istante. E' vero che ho la banda occupata contemporaneamente su entrambe le connessioni pur non avendone una somma, ma d'altra parte nella modalità active-backup la banda della VPN secondaria è totalmente inutilizzata.

Per Fulvio: cosa ne pensi? Secondo te sarà il caso di abilitarla nella configurazione tramite interfaccia web?

Ciao a tutti.
Top
Profilo Invia messaggio privato
fabioseccia



Registrato: 19/07/08 07:02
Messaggi: 15

MessaggioInviato: Lun Feb 02, 2009 10:02 pm    Oggetto: Rispondi citando

Scusate, non ho più avuto commenti a riguardo, qualcuno ha valutato la mia proposta?
Ciao, a tutti.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Lun Feb 02, 2009 11:25 pm    Oggetto: Rispondi citando

E' senz'altro una soluzione alternativa al failover, che al costo del doppio consumo di banda, propone un failover sulle connessioni in bonding sicuramente piu' immediato, che non dovrebbe causare nessuna perdita di pacchetti in caso di fault, poiche' il tempo di commutazione è nullo.

Ti risulta cio' dalle tue prove?

Saluti
Fulvio
Top
Profilo Invia messaggio privato
fabioseccia



Registrato: 19/07/08 07:02
Messaggi: 15

MessaggioInviato: Sab Feb 14, 2009 5:28 pm    Oggetto: Rispondi citando

Sì, mi risulta così, anche se stacco una delle due connessioni non ho alcuna perdita di pacchetti.
Ho solo riscontrato in questi giorni un piccolo difetto di questo tipo di configurazione: la velocità del canale BOND si adatta alla velocità più bassa tra le due o più VPN, cioè se uno dei due o più canali disponibili per fare il bonding risulta per qualche motivo rallentato, la velocità del canale BOND risulta lento quanto la più lenta VPN.
In questo caso converrebbe quasi che si staccasse del tutto il canale lento, in modo da lasciare l'altro libero di andare alla sua velocità.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Sab Feb 14, 2009 10:15 pm    Oggetto: Rispondi citando

L'adattamento al canale più lento sembra ragionevole visto che si fa il mirroring delle connessioni. Purtroppo non si può avere tutto.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it