Forum Mjukvara Linux och övriga operativsystem Tråd Inlägg

Erfarenhet av shorewall/balansering/nat?

1
Skriv svar
Permalänk
Medlem

Erfarenhet av shorewall/balansering/nat?

Titeln är kass, jag vet. Vet inte riktigt vad det jag försöker göra kallas, så det får ni ha överseende med

Jag har en linuxburk hemma som agerar router/nat, som tidigare har haft den enkla konfigurationen med ett nätverkskort för vardera nätverken. Då min kunskap om routing och iptables är sådär så använder jag shorewall för att förenkla det hela.

I helgen fick jag lite tid över och satte i ytterligare 3 nätverkskort,
så burken nu har 4 nätverkskort som tilldelas publikt ip av bredbandsbolaget.
Problemet är att jag inte lyckas konfigurera detta på ett bra sätt.
Genom att ändra i shorewall-filerna providers, masq och route_rules så lyckades jag få rtorrent att använda alla 4 interface när det seedade. (Jag har bbb 100/10, men lyckades skicka data uppströms i mellan 30-40MBit).

Problemet då var istället att trafiken mellan LAN och routern gick segt, maxhastighet med ftp/www/smb gick aldrig över 300KB. Med wireshark såg jag att de flesta packet fick skickas om.

Min frågan är dels om någon här använder sig av en liknande konfigurering och vill dela med sig lite om hur denne har konfigurerat shorewall, men jag undrar också om detta ö.h.t är vettigt att göra? Jag vet att det finns en guide för detta på shorewalls hemsida, och det är den jag har utgått ifrån, men är ändå intresserad av hur andra har konfigurerat detta.

Det jag egentligen vill åstadkomma är att ha två interface för tyngre trafik, ett för tjänster som körs på routern och virtuella maskiner, samt ett interface som datorerna i lokala nätverket kan använda sig av.

Jag sitter på jobbet så jag kan tyvärr inte bifoga nuvarande konfigurationsfiler, och just nu har jag återgått till normal 2-interface-konfiguration som jag vet fungerar.

Redigera
Citera flera Citera
Permalänk
Medlem

Re: Erfarenhet av shorewall/balansering/nat?

Citat:

Ursprungligen inskrivet av @@mårten@@
Jag har en linuxburk hemma som agerar router/nat, som tidigare har haft den enkla konfigurationen med ett nätverkskort för vardera nätverken. Då min kunskap om routing och iptables är sådär så använder jag shorewall för att förenkla det hela.

I helgen fick jag lite tid över och satte i ytterligare 3 nätverkskort,
så burken nu har 4 nätverkskort som tilldelas publikt ip av bredbandsbolaget.
Problemet är att jag inte lyckas konfigurera detta på ett bra sätt.
Genom att ändra i shorewall-filerna providers, masq och route_rules så lyckades jag få rtorrent att använda alla 4 interface när det seedade. (Jag har bbb 100/10, men lyckades skicka data uppströms i mellan 30-40MBit).

Problemet då var istället att trafiken mellan LAN och routern gick segt, maxhastighet med ftp/www/smb gick aldrig över 300KB. Med wireshark såg jag att de flesta packet fick skickas om.

Min frågan är dels om någon här använder sig av en liknande konfigurering och vill dela med sig lite om hur denne har konfigurerat shorewall, men jag undrar också om detta ö.h.t är vettigt att göra? Jag vet att det finns en guide för detta på shorewalls hemsida, och det är den jag har utgått ifrån, men är ändå intresserad av hur andra har konfigurerat detta.

Det jag egentligen vill åstadkomma är att ha två interface för tyngre trafik, ett för tjänster som körs på routern och virtuella maskiner, samt ett interface som datorerna i lokala nätverket kan använda sig av.

Jag kör Shorewall (med 2 NIC iofs, alltså samma som du började med), och jag förstår iofs vad du försöker åstadkomma men bara så du tänker på det; Ju mer inställningar (eller NIC för den delen) som du ger burken, desto tyngre kommer den att gå. Kanske marginellt till att börja med men med tanke på att du försöker klämma ut rätt ordentlig hastighet så får du nog acceptera att du inte når dom teoretiska maxvärdena (f.ö. är jag lite avundsjuk som sitter med 10/10 hos ComHem ).

Först och främst; Vilken version av Shorewall kör du (skriv 'shorewall version' i en terminal så får du svaret)?
För det andra; Hur ser /etc/shorewall/tos ut? Där finns en del av svaret du söker ('man shorewall-tos' för mer info)
För det tredje; Är du 100% på att du routar paketen rätt från första början?

Övriga läsare (och jag) av din tråd är nog rätt sugna på att se resultatet av 'ifconfig' och 'route -n' ...

Visa signatur

WS: ASUS P7P55D/i5-750, Hydro H50, XFX6950/2GB, Intel X25-V/2Tb lagring, Corsair VX-550
Server: ASUS, AMD Athlon64 X2 6000+ Scyte Ninja, NVidia GS8400Silent, 2Gb ram, ~4Tb SATA, 500W, CM Stileo500 (tyst)
"-Sometimes all that is needed is a high five. In the face. With a chair!"

Redigera
Citera flera Citera
Permalänk
Medlem

Jag sitter lite i samma situation som Mårten. Jag har dock lagt det på is i väntan på bland annat ny hårdvara och tid.
Shorewall delen minns jag att jag också hade problem med. Tror det va just routingen som inte riktigt ville fungera.
Jag har även experimenterat lite med att "fejka" MAC-adresser till BBB's DHCP-server för att kunna få alla mina ip-nummer på ett nätverkskort. Tyvärr kommer jag inte ihåg så noga hur och vilka inställningar jag använde, men jag minns dock att det inte va Debians standard DHCP-klient jag använde (dhcp3). Har ett svagt minne av att det va DHCP-klienten som används som standard i FreeBSD, vilken det nu är.
Sen minns jag att jag av någon anledning fick lite problem i mitt experimenterande och BBBs router låste min port per automatik vilket troligen berodde på att jag råkade spamma lite för mycket DHCP förfrågningar. Fast det ordnade kundtjänsten bara efter ett samtal (under helg också vill jag minnas).

Kommer följa tråden med stort intresse och kan försöka hjälpa till om jag kan!
Lycka till!

Visa signatur

01001000 01100001 01110010 00100000 01100100 01110101 00100000 01110100 01110010 10000110 01101011 01101001 01100111 01110100 00111111 00100000 00111010 00101001

Redigera
Citera flera Citera
Permalänk
Medlem

Kul att man fick lite svar iaf
Har experimenterat lite mer nu på kvällen men börjar känna mer och mer att det kanske är lika bra att lägga detta på is såvida jag inte lär mig lite mer om routing. Ogillar tanken att inte ha koll på vad som händer. Förtillfället slutar uppkopplingen att fungera med jämna mellanrum, jag kan surfa in på en sida och sedan efter någon minut kommer jag inte åt den...förrän några minuter senare.

Iaf, Osan: Jag postar ifconfig- och route-resultatet längst ner i inlägget om det skulle vara av intresse. För att svara på dina andra frågor så har/hade jag ingen tos-fil alls, hade inte hört att den behövdes. Får läsa på lite mer om detta :).

Min shorewall-version är 4.0.13, perl-versionen.

Att jag routar paketen rätt vet jag inte heller :/ Men det har alltid funkar klockrent med 2-interface-setup (traffic shaping, nat, portforwarding osv). Detta var mer som ett experiment en lördag-kväll, men jag börjar som sagt känna att det är över min förmåga för tillfället.

twan: kul att man inte är ensam Det låter som snäppet krångligare att få alla ipnummer på samma nätverkskort Har du någon kunskap att bidra ang. routingen så mottages den tacksamt Får se hur länge tråden lever, kan alltid hoppas att något snille dyker upp och kan ge lite ledtrådar..

root@router:/etc/shorewall# route -n
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
213.113.30.160  0.0.0.0         255.255.255.224 U     0      0        0 eth0
213.114.41.64   0.0.0.0         255.255.255.192 U     0      0        0 eth3
213.114.41.64   0.0.0.0         255.255.255.192 U     0      0        0 eth2
213.114.41.64   0.0.0.0         255.255.255.192 U     0      0        0 eth1
192.168.3.0     0.0.0.0         255.255.255.0   U     0      0        0 vbox0
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth4
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         0.0.0.0         0.0.0.0         U     0      0        0 eth0
0.0.0.0         213.114.41.65   0.0.0.0         UG    0      0        0 eth2
0.0.0.0         213.114.41.65   0.0.0.0         UG    0      0        0 eth1
0.0.0.0         213.113.30.161  0.0.0.0         UG    0      0        0 eth0
root@router:/etc/shorewall# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:1b:21:22:cd:06
          inet addr:213.113.30.1xx  Bcast:213.113.30.191  Mask:255.255.255.224
          inet6 addr: fe80::21b:21ff:fe22:cd06/64 Scope:Link
          UP BROADCAST NOTRAILERS RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:62014345 errors:0 dropped:1533 overruns:0 frame:0
          TX packets:84399906 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:502147302 (478.8 MiB)  TX bytes:653821827 (623.5 MiB)
          Base address:0x9400 Memory:eb800000-eb820000

eth1      Link encap:Ethernet  HWaddr 00:1b:21:23:19:71
          inet addr:213.114.41.xx  Bcast:213.114.41.127  Mask:255.255.255.192
          inet6 addr: fe80::21b:21ff:fe23:1971/64 Scope:Link
          UP BROADCAST NOTRAILERS RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:17256815 errors:0 dropped:214 overruns:0 frame:0
          TX packets:28733658 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:1041271683 (993.0 MiB)  TX bytes:3967293070 (3.6 GiB)
          Base address:0x9000 Memory:ea800000-ea820000

eth2      Link encap:Ethernet  HWaddr 00:1b:21:22:cd:14
          inet addr:213.114.41.1xx  Bcast:213.114.41.127  Mask:255.255.255.192
          inet6 addr: fe80::21b:21ff:fe22:cd14/64 Scope:Link
          UP BROADCAST NOTRAILERS RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:11143145 errors:0 dropped:98 overruns:0 frame:0
          TX packets:14969306 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:1998876727 (1.8 GiB)  TX bytes:4174750590 (3.8 GiB)
          Base address:0x8800 Memory:e9800000-e9820000

eth3      Link encap:Ethernet  HWaddr 00:05:5d:01:2e:a6
          inet addr:213.114.41.1xx  Bcast:213.114.41.127  Mask:255.255.255.192
          inet6 addr: fe80::205:5dff:fe01:2ea6/64 Scope:Link
          UP BROADCAST NOTRAILERS RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6658785 errors:0 dropped:2 overruns:0 frame:0
          TX packets:9251318 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:4291579611 (3.9 GiB)  TX bytes:2275261392 (2.1 GiB)
          Interrupt:16 Base address:0xe000

eth4      Link encap:Ethernet  HWaddr 00:50:ba:02:98:1c
          inet addr:192.168.2.1  Bcast:192.168.2.255  Mask:255.255.255.0
          inet6 addr: fe80::250:baff:fe02:981c/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:19201963 errors:0 dropped:0 overruns:0 frame:0
          TX packets:19183604 errors:1741 dropped:0 overruns:0 carrier:5332108
          collisions:3699 txqueuelen:1000
          RX bytes:2444782598 (2.2 GiB)  TX bytes:3536869071 (3.2 GiB)
          Interrupt:17 Base address:0x8000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:23600 errors:0 dropped:0 overruns:0 frame:0
          TX packets:23600 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:2468110 (2.3 MiB)  TX bytes:2468110 (2.3 MiB)

vbox0     Link encap:Ethernet  HWaddr 00:ff:50:10:c6:fe
          inet addr:192.168.3.99  Bcast:192.168.3.255  Mask:255.255.255.0
          inet6 addr: fe80::2ff:50ff:fe10:c6fe/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:9653 errors:0 dropped:0 overruns:0 frame:0
          TX packets:13976 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:500
          RX bytes:1090353 (1.0 MiB)  TX bytes:1306946 (1.2 MiB)

Edit: Lite småkul... Jag sökte på google efter "shorewall tos" och den femte träffen var den här tråden Dom är kvicka

Edit2: Om nån önskar kan jag posta konfigurationsfilerna här, men det är en väldig enkel setup jag har nu. Läs MultiISP-howton om ni vill få en överblick.

Edit3: Just nu verkar linan vara väldigt stabil trots att de fyra interfacen är aktiverade. Tror TOS är lösningen för att kunna styra trafiken rätt, tack för att du uppmärksammade det, Osan!

Senast redigerat
Redigera
Citera flera Citera
Permalänk
Medlem

Kul projekt du håller på med.. menar du att du kan få ut 400/40, sammanlagt med 4 NIC's? För jag har nämligen 100/10 från BBB, och får 5 publika IP'n genom min switch om jag vill. Så jag kan göra något liknande? Någon bra tutorial, eller nån som gjort nåt liknande? Vore nice med ett svar

Visa signatur

Gigabyte-P35-DS4 | Intel Core 2 Quad Q6600 [3 GHz] | 2x1GB Corsair XMS-6400@800Mhz | Nvidia Geforce 460 GTX [975/2000 MHz] | Intel 320 Series 80 GB SSD | | SETI@Home Team: Sweclockers.com

Redigera
Citera flera Citera
Permalänk
Medlem

Googlah: Riktigt så kul ska vi nog inte ha det Det blir 100/50 man kan få ut, (eller rättare sagt 100/(5*10)). Lite osäker på hur det funkar, men tydligen ska uppströmshastigheten spärras per IP och inte per port. Det har skrivits om det några gånger i nätverksforumet. Sorry om jag var otydlig.

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av @@mårten@@
Googlah: Riktigt så kul ska vi nog inte ha det Det blir 100/50 man kan få ut, (eller rättare sagt 100/(5*10)). Lite osäker på hur det funkar, men tydligen ska uppströmshastigheten spärras per IP och inte per port. Det har skrivits om det några gånger i nätverksforumet. Sorry om jag var otydlig.

Är det inte till och med så pass bra så det är 20mbit uppströms per ip? Tycker jag kan komma upp i något sånt om jag har tillräckligt med torrents igång.

Visa signatur

01001000 01100001 01110010 00100000 01100100 01110101 00100000 01110100 01110010 10000110 01101011 01101001 01100111 01110100 00111111 00100000 00111010 00101001

Redigera
Citera flera Citera
Permalänk
Avstängd

Ingen aning kring grundfrågan men Gunnards klassiska inofficiella FAQ kanske är till hjälp ?

http://bbbfaq.gunnard.se/index.php/100_Mbps_mellan_mina_dator...

BBB kör ju proxyarp för att separera utdelade IP adresser/kunder.

Hur nu det appliceras rent praktiskt angående det här..?

Visa signatur

ASUS K56CB i7, W10 > Asus VivoBook S15 S530UN
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 500/100Mbit/s.
Mitt nätverk: https://imgur.com/aco9XQz Bild https://imgur.com/oQ2WG9Y

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Googlah
Kul projekt du håller på med.. menar du att du kan få ut 400/40, sammanlagt med 4 NIC's? För jag har nämligen 100/10 från BBB, och får 5 publika IP'n genom min switch om jag vill. Så jag kan göra något liknande? Någon bra tutorial, eller nån som gjort nåt liknande? Vore nice med ett svar

Svårt att få ut 400 när porten står inställd på 100.
Hade varit enklare ifall man hade gigabit mot bbb's switch men det har man inte.

@@mårten@@: Jag vill gärna se config filerna.

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Drazze
Svårt att få ut 400 när porten står inställd på 100.
Hade varit enklare ifall man hade gigabit mot bbb's switch men det har man inte.

@@mårten@@: Jag vill gärna se config filerna.

Ja, just det. Men åtminstone kan man få kring 100/80, och 8 MB/s i upload är inte dåligt det heller. Men då måste vi se config-filer för detta. Ska försöka inhandla ett par äldre komponenter snart, som man ska bygga en server av. Vore kul om fler har haft liknande projekt.

Visa signatur

Gigabyte-P35-DS4 | Intel Core 2 Quad Q6600 [3 GHz] | 2x1GB Corsair XMS-6400@800Mhz | Nvidia Geforce 460 GTX [975/2000 MHz] | Intel 320 Series 80 GB SSD | | SETI@Home Team: Sweclockers.com

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Googlah
Ja, just det. Men åtminstone kan man få kring 100/80, och 8 MB/s i upload är inte dåligt det heller. Men då måste vi se config-filer för detta. Ska försöka inhandla ett par äldre komponenter snart, som man ska bygga en server av. Vore kul om fler har haft liknande projekt.

Nja 10x5 blir ju 50 megabit som är 6.25 megabyte och 80 som du skrev blir ju 10 megabyte. Jag gissar att den kommer landa med 5 nic på ca 45-75 megabit.

Har kört pfsense förr men den käkar för mycket kraft från min gammla fina burk.
Därför jag kör debian med shorewall nu, så kan man använda datorn till lite mer änn router.

2139 kilobyte/s enligt ifstat som max, dvs 16.7~ megabit
http://data.fuskbugg.se/skalman01/speed_debian_shorewall.JPG

Redigera
Citera flera Citera
Permalänk
Medlem

Ett par länkar till howto:
http://www.policyrouting.org/iproute2-toc.html
http://lartc.org/

Visa signatur

Fagerja

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av fagerja
Ett par länkar till howto:
http://www.policyrouting.org/iproute2-toc.html
http://lartc.org/

shorewall är det vi använder...

Problemet är väl att confa fast dom kör på samma iprange med samma gateway.

Redigera
Citera flera Citera
Permalänk
Medlem

Fungerar detta med ADSL också?
24/2 skulle således kunna bli 24/8, med 4st NIC?
Jag har ju 4 el. 5 dynamiska IP om jag minns rätt..

Visa signatur

WS: Asus P8Z77-I Deluxe mITX | Intel 3770K@4.6 | NH-U12P | Asus 780 GTX | Corsair 2x8GB 1600Mhz CL9 | Samsung 840 512GB | Ubuntu 16.04.3 x86_64 | Corsair AX750 | 2x Dell U2412M | Puppe.se | NAS: i7 860, 16GB DDR3, GA-P55M-UD4, FD Define R3, 8x2TB Samsung F4EG, Serveraid M1015, EVGA 750W G2 PSU, FreeBSD x64

Redigera
Citera flera Citera
Permalänk
Medlem
Citat:

Ursprungligen inskrivet av Schrimp
Fungerar detta med ADSL också?
24/2 skulle således kunna bli 24/8, med 4st NIC?
Jag har ju 4 el. 5 dynamiska IP om jag minns rätt..

Tänk till, i ADSL ligger begränsningen i vadå? Ja ADSL!
Dvs mellan dslamen och modemet, hur många ip du änn har spelar det ingen roll.

Redigera
Citera flera Citera
1
Skriv svar
Senaste nyheterna
Hårdvara
Mjukvara
Övrigt
Nytt i forumet
Datorkomponenter
System
Ljud, bild och kommunikation
Spel och mjukvara