Balance PCC com Failover Avançado (Sem Script)

[agatangelos]

Acrescentando oque o amigo disse gostaria de no mesmo cenário saber o que fazer tendo AS, pois estou tirando uma range de ip valido para repassar o aos clientes, e estou contratando uma nova operadora para redundância, vou ter 30MB de cada operadora, vou usar os dois links, passando uma parte dos clientes por um e outra parte por outro e se um link cair passar tudo por um único link, vai ficar lento mais não vai ficar sem internet, pois um chega via fibra de uma operadora e outra via radio de outra operadora ... Atenciosamente ... Rodrigo

[FabianoMartins2]

Ok Andrio, obrigado por responder.

No caso do PCC, onde se faz a divisão, vejo colegas dizendo que a opção both addresses and ports (em Per connection Classifier), dá problemas c/ o numero de conexões. + ou - assim, quando mais clientes, mais endereços e portas sendo usados, dai surgem problemas como erros em algumas paginas, essa informação procede ou nada haver ?

Abraço.

Olá Andrio, essa informação procede ?

[davidmilfont]

Andrio... Pela sua experiência é aconselhável usar modens roteados ? Porque já ouvi falar que modem roteado chega a travar qdo o tráfego fica intenso.

[FabianoMartins2]

Andrio, pintou uma duvida aqui que eu acredito ser interessante p/ o tópico. No caso de modens em bridge, temos algumas regras na balance (borda), p/ evitar DNS EXTERNO e PORT SCANNERS. Dai te pergunto, c/ os modens roteados, como ficariam essas regras ?

Abraço.

[AndrioPJ]

Andrio, pintou uma duvida aqui que eu acredito ser interessante p/ o tópico. No caso de modens em bridge, temos algumas regras na balance (borda), p/ evitar DNS EXTERNO e PORT SCANNERS. Dai te pergunto, c/ os modens roteados, como ficariam essas regras ?

Abraço.

Quando se esta roteado, nao precisa dessas regras... pois ninguem da internet chega diretamente no seu router mk

[FabianoMartins2]

Quando se esta roteado, nao precisa dessas regras... pois ninguem da internet chega diretamente no seu router mk

Ok Andrio, obrigado por responder.

Então usando modens roteados, ajuda a diminuir o processamento na RB da borda.

E como isso não precisa configurar nada no firewall dos modens p/ evitar problemas ?

Abraço...

[FabianoMartins2]

EXPLICAÇÃO DAS REGRAS IP ADDRESS e IP FIREWALL

As regras acima criam a rede e faz o NAT.


As regras acima criam um address list para cadastrar ips que você queira que saia por um ou pelo outro Link.


A regra acima evita problema com servidores FTP.


A regra acima retira outras portas do Balance.


A Regra acima aceita a conexão de cada Link.


A regra acima marca a conexão de entrada do link para que ele volte pelo mesmo Link.


A Regra acima é responsável pelo balanceamento. Como os dois links tem o mesmo peso, então criamos apenas 2 regra.
Caso Um link tenha peso maior, então precisa ter 1 regra a mais para esse Link.


A regra acima direciona a marcação para cada Link.


EXPLICAÇÃO DAS REGRAS /IP ROUTE

Aqui vem o pulo de Gato.
Antes de explicar a Regra, temos que entender 3 coisas:

1 - IP para Teste (a sua escolha).

• Para o Link 1, eu configurei um dos IP do OpenDNS (208.67.222.222) e o site do Terra (200.154.56.80).
• Para o Link 2, eu configurei o outro IP do OpenDNS (208.67.220.220) e o site do Registrobr (200.160.2.3)

2 - Criar um Gateway Falso (Fake) (a sua escolha).

• Para o Link 1, eu decidi que o Gateway Falso seria 192.168.56.1
• Para o Link 2, eu decidi que o Gateway Falso seria 192.168.57.1

3 - E finalmente, o Gateway Verdadeiro (veja a faixa de IP de cada link).

• Para o Link 1, Gateway Verdadeiro é 192.168.30.1
• Para o Link 2, Gateway Verdadeiro é 192.168.31.1

Então vamos lá.

A Regra diz por qual Link cada IP de teste deverá sair.
Ele irá testar um IP, senão tiver sucesso irá testar o outro IP, se também não tiver sucesso só então irá derrubar a conexão.


A Regra acima cria um destino Virtual.
As duas primeiras direcionam os IPs de teste para o Gateway Falso do Link 1 (192.168.56.1/32)
As duas outras direcionam os outros IPs de teste para o Gateway Falso do Link 2 (192.168.57.1/32)


As Regras acima criam a rota de saída dos IPs que foram marcados no firewall (address-list) para sair por um ou outro Link.


As regras acima criam as rotas de saída da marcação do Balanceamento.


As regras acima é do Default Route, para aqueles que foram configurados no Firewall para sair por Fora do Balance.


As regras acima corrigi um bug em algumas versões do Mikrotik.
Quando um link caia, após retornar, as Rotas não eram recalculadas e todo o trafego continuava saindo por um unico Link.
Com essas regras tudo é recalculado corretamente.

Olá Andrio, configurei conforme seu tutorial e adaptei a minha rede. Daí tudo que é HTTPS funcionou normalmente, mas o restante (HTTP) não funcionou, as paginas não abrem.

Do balance consigo pingar p/ qualquer site, já pelo prompt do windows, alguns sites não respondem ao ping.

Tem alguma ideia do que possa ser ?

Abraço.

[AndrioPJ]

Olá, Andrio... Parabéns pelo ótimo trabalho que vem fazendo, é Obrigado por nos dar um Help quando se trata de Mikrotik o bixo pega mesmo...

estou com problema aqui pra configurar 2 Links Dedicado de operadoras diferente... a Operadora (a) tenho um Boco de IPv4 /27 e Operadora (b) somente o IP valido pra receber o Link... Operadora (a) tenho 8mb Full Duplex e Operadora (b) 5mb Full Duplex... eis a questão.

preciso balancear a carga dos links... aqui está dessa forma... criei 2 range no pool 1 para sair o Link (a) e outro para sair o Link (b).... sendo os Clientes Dedicados, Comerciais e fazendas no Link (a) pois tenho o bloco /27 de ip validos pra repassar e Clientes Residenciais no Link (b) e tbm configurar um FailOver para quando um link cair os clientes serem redirecionados para o outro até o link DOWN voltar a ficar UP... vir-se e versa.

Range Pool Clientes Dedicado (PPoE) - 10.10.17.0/24
Range Pool Clientes Residencial (PPoE) - 10.10.15.0/24

/ip address ( Configurações de recebimento dos Links RB 1100 )

add address=10.10.11.1/24 disabled=no interface=SWITCH-10P network=10.10.11.0 ( Range Rede Enlace toda em Bridge )
add address=182.193.1.30/30 disabled=no interface=LINK-M.M-ETH12 network=182.193.1.28 ( Entrada Link Fornecedor (a) )
add address=171.87.1.30/30 disabled=no interface=LINK-G.N-ETH11 network=171.87.1.28 ( Entrada Link Fornecedor (b) )

1º Duvida: o que seria ou pra que seria esse IP para Teste ?

r:

2º Duvida: o que seria ou pra que seria esse Gateway Falso (Fake) ?

r:

se não for muito em comodo poderia me explicar como configuro meu servidor em cima desses dados que coloquei aqui...


Agradeço a todos que puderem me dar uma força tbm...

1 - IP para teste será o IP do site que o mikrotik ficará pingando/testando.
Aqui eu configurei para testar conexão com o registro.br, uol, terra, globo, e dns google e open

2 - Gateway Falso - Seria um IP que não existe na sua RB (nem na lan, nem nos moden WAN), um IP falso.

Acrescentando oque o amigo disse gostaria de no mesmo cenário saber o que fazer tendo AS, pois estou tirando uma range de ip valido para repassar o aos clientes, e estou contratando uma nova operadora para redundância, vou ter 30MB de cada operadora, vou usar os dois links, passando uma parte dos clientes por um e outra parte por outro e se um link cair passar tudo por um único link, vai ficar lento mais não vai ficar sem internet, pois um chega via fibra de uma operadora e outra via radio de outra operadora ... Atenciosamente ... Rodrigo

os dois links são Dedicados?
Ativa o BGP em ambos os links, o próprio BGP cuida de fazer o balanceamento.

Ok Andrio, obrigado por responder.

No caso do PCC, onde se faz a divisão, vejo colegas dizendo que a opção both addresses and ports (em Per connection Classifier), dá problemas c/ o numero de conexões. + ou - assim, quando mais clientes, mais endereços e portas sendo usados, dai surgem problemas como erros em algumas paginas, essa informação procede ou nada haver ?

Abraço.

Meu cenario para testes foi pequeno, então não sei te dizer.

Olá Andrio, configurei conforme seu tutorial e adaptei a minha rede. Daí tudo que é HTTPS funcionou normalmente, mas o restante (HTTP) não funcionou, as paginas não abrem.

Do balance consigo pingar p/ qualquer site, já pelo prompt do windows, alguns sites não respondem ao ping.

Tem alguma ideia do que possa ser ?

Abraço.

voce tem cache ou regra de cache nessa mesma RB?

[FabianoMartins2]

1 - IP para teste será o IP do site que o mikrotik ficará pingando/testando.
Aqui eu configurei para testar conexão com o registro.br, uol, terra, globo, e dns google e open

2 - Gateway Falso - Seria um IP que não existe na sua RB (nem na lan, nem nos moden WAN), um IP falso.


os dois links são Dedicados?
Ativa o BGP em ambos os links, o próprio BGP cuida de fazer o balanceamento.


Meu cenario para testes foi pequeno, então não sei te dizer.


voce tem cache ou regra de cache nessa mesma RB?

Não tenho cache. A rb é somente p/ o balance, não tenho nenhuma outra regra a não ser as do PCC.

[lrmurad]

Parabéns e obrigado por nos compartilhar essas configs. Fiz na mina rb e funcionou legal a parte das rotas, mas a parte do mangle não. Então deixei funcionando as que já estavam, que são aquelas do Wiki do mikrotik.

Agora a minha dúvida e que gostaria de ajuda é a seguinte, o NTP parou de funcionar após colocar as regras da rota. Bom, essa RB é só pra fazer o balance e tá com a versão 6.14. Em teste de ping, quanto tento pingar um site pelo nome (ex. uol.com.br) não pinga, o estranho é que quando aperto o stop, ele da o endereço IP do site. Mas mesmo com o IP do site ele não pinga. Consigo pingar apenas os DNS.

Será que é algum erro meu ao colocar as regras ou fica assim mesmo? No caso de ficar assim mesmo, tem problema pra rede essa RB ficar sem o DNS?Desde já muito obrigado.

[lrmurad]

Venho aqui pra me corrigir e pedir desculpas pelo meu post. Eu tinha desativado a opção allow remote request em DNS. Ativei e voltou a funcionar.

[maisonmdsgreen]

Andrio para link dedicado aplica essa regra?

[italope]

/ip firewall mangle
add action=mark-connection chain=prerouting comment="BALANCEANDO CONEXAO" connection-state=established disabled=no dst-address-type=!local in-interface=Eth5 new-connection-mark=Eth4_conn passthrough=yes per-connection-classifier=both-addresses-and-ports:2/0
add action=mark-connection chain=prerouting connection-state=established disabled=no dst-address-type=!local in-interface=Eth5 new-connection-mark=Eth3_conn passthrough=yes per-connection-classifier=both-addresses-and-ports:2/1



boa noite uso balance com cargas diferente e quando fiz por essa parte ai nao tava abrindo paginas

mais quando desativei essas 2 linhas que estar em vermelho logo em cima funciono normal sera que tem alguma coisa a ver por eu uso links com cargas diferentes ?

[AndrioPJ]

Percebi que o Load Balance do @AndrioPJ é bem semelhante ao PCC da Wiki da MikroTik (http://wiki.mikrotik.com/wiki/PCC).

Andrio, o que faz exatamente os sites manterem a conexão pelo mesmo link é usando o a marcação de conexão de entrada do link[1] e a marcação de rota na cadeia "output"[2]? Percebi muuita semelhança entre os dois PCC.

[1] /ip firewall mangle

add chain=prerouting in-interface=ISP1 connection-mark=no-mark action=mark-connection \ new-connection-mark=ISP1_conn

add chain=prerouting in-interface=ISP2 connection-mark=no-mark action=mark-connection \ new-connection-mark=ISP2_conn

[2] /ip firewall mangle

add chain=output connection-mark=ISP1_conn action=mark-routing new-routing-mark=to_ISP1
add chain=output connection-mark=ISP2_conn action=mark-routing new-routing-mark=to_ISP2

Esse Load Balance dá muito problema com jogos online e sites de bando (HTTPS) ou não há mais isso?

no balance que criei não tenho problema com https, nem mesmo ftp.
não vi problema com site de jogos, mas sempre tem aqueles que tem que tirar fora do balance.

a principal diferença entre o balance que postei aqui e o que esse que link que postou, que está no site da mikrotik... é o faillover.

[Fael]

AndrioPj tenho duas duvidas sobre esse balance.
Aqui Uso balance por rotas /27 32 Ips por Gateway, Não consigo usar todos os links, mais não tenho problemas nenhum com portas ou games ou sites...
Consigo equalizar bem a banda já que sempre vou adicionando novos clientes de acordo com o Link de menor uso, Infelizmente ainda não tenho link dedicado.
O que mais me faz sofrer nesse balance é o problema que os adsl tem, as vezes um link esta ótimo e outro bem ruim...
Então mudei ele, agora faça um redirecionamento da porta 80/443 para meus melhores links usando /26... Resolveu o problema de lentidão para alguns na navegação.
Sempre quis usar Pcc mais a questão toda é essa de força todo o trafego https para um só link (Iria estourar fácil o link) ou até mesmo a questão de quando você escolhe o peso da conexão é no momento ela não da o rendimento condizente com o peso, exemplo 4 Links de 10mbs só que tem um que ta dando 2Mbs, o pcc tenta força o uso dele de acordo com o peso (10mb) causando lentidão em parte da rede...
Existe solução pra esse dois problemas adrio ? fazer com que cada pessoa que comece na porta 443 termine na mesma usando o mesmo link, não apenas sendo forçado a porta a trabalhar com 1 Link, fazer isso sem ter problemas com sites de banco...
e a questão do pcc detecta que aquele "momento" o link não ta rendendo o peso a qual foi proposto a ele e fazer uso do próximo Link. ?
Grato se me tira essas duvidas.

[AndrioPJ]

a solução para o balance que usa mais o Link1 do que o Link2 é simples...
ao configurar o balance, sempre considere uma menor velocidade para o Link1.

exemplo, vamos supor que ambos os links possuem 10 mega de velocidade.
então, ao configurar o balance, considere que o Link1 tenha 5 ou 6mega, e o Link2 tenha 10 mega.

[Fael]

Então AndrioPj o problema é que o adsl aqui é bem instável, suponhamos que configure como você falou, só que tem hora que os links se invertem o que era bom esta ruim e o que é ruim se torna bom...

[italope]

por esse balance ai como faço pra passar um cliente por fora do balance uso uma 1200 pra o balance e uma ccr 1009 como servidor

[piriquitobmx]

olá galerinha estou acompanhando o tópico, fiz o balance e estou testando aqui com modem roteado até o momento tudo tranquilo, gostaria de saber se alguém ja conseguiu com modem em modo bridge?

[Fael]

Não tem segredo pra usar em Bridge, como o autor disse só a parte do failover que não vai ficar ok...
"Criar uma interface "PPPoE-Client" e nas configurações do balance, onde se define as interfaces cabeadas dos modens, defina as interfaces "PPPoE-Client"."
Facilzinho né ?