Path: csiph.com!eternal-september.org!feeder.eternal-september.org!news.eternal-september.org!.POSTED!not-for-mail From: Mikko Tuumanen Newsgroups: sfnet.atk.linux Subject: Re: Kuormantasausta kahdelle isp:lle Date: Sun, 12 Feb 2017 19:20:50 -0000 (UTC) Organization: A noiseless patient Spider Lines: 49 Message-ID: References: Mime-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Injection-Date: Sun, 12 Feb 2017 19:20:50 -0000 (UTC) Injection-Info: mx02.eternal-september.org; posting-host="478adae7a3b9cfee7c4a0171c980d0f5"; logging-data="9183"; mail-complaints-to="abuse@eternal-september.org"; posting-account="U2FsdGVkX1/yQijopjmbY0DwJ+F+xG1b" User-Agent: slrn/1.0.2 (Linux) Cancel-Lock: sha1:488kPtT99EKJSGAcYhYuuQjKNpw= Xref: csiph.com sfnet.atk.linux:913 Reijo Korhonen kirjoitti 01.02.2017: > Näyttäisi siltä, että jäinkin kahden isp:n loukkuun. > Miten tälläiset kuorman tasaukset/optimoinnit säädetään linuxissa? Luodaan toinen reititystaulu. Näin saadaan toinenkin oletusreitti, (siis "gateway" tai "default route") eli voidaan käyttää molempia yhteyksiä samanaikaisesti. Tämän jälkeen on luotava jonkinlaiset säännöt sille, mitkä yhteydet reititetään milläkin reititystaululla. Sääntö voi olla yksinkertainen, eli osoitteen tai verkkoliitännän perusteella, mutta tässä tapauksessa mielenkiintoisempi on MARK-vaihtoehto, eli reititystaulun valinta iptablesin tekemän merkinnän perusteella. Näin isp:n valinta saadaan tehtäväksi iptablesilla ja siellähän on erilaisia kikkoja käytettävissä, kuten esim. sääntö, joka täsmää joka N:nteen pakettiin jne. En ole itse tällaista kokeillut, mutta pohdin kerran vähän vastaavaa tilannetta: Junassa, kahvilassa, lentokentällä, tms. paikassa on ilmainen wlan, mutta mukana on myös kännykkä, jossa on joku 3G/4G-netti. Halutaan mahdollisimman nopea ja hyvin toimiva yhteys firman vpn:ään. Miten saadaan molemmat nettiyhteydet hyötykäyttöön samanaikaisesti ja siten että ei haittaa, jos toinen katkeaa? Miten tällainen viritys pitäisi rakentaa? Saattaa olla, että on olemassa vpn-palvelin, joka ei välitä tulevan udp-paketin ip-osoitteesta vaan katsoo paketin sisältä onko se ok. Näin voisi ehkä etäkoneella kuormaa tasaamalla saada lisää nopeutta toiseen suuntaan, mutta se ei auttaisi muuten, koska paketit palvelimelta takaisin kulkisivat vain toisen yhteyden kautta. Olisi ehkä mahdollista avata kaksi erillistä vpn-yhteyttä, yksi kummankin yhteyden kautta ja sitten yhdistää nämä bonding-ajurilla. Tässä tapauksessa kumpikaan vpn-yhteyksistä ei saisi päätyä suoraan firman sisäverkkoon, vaan ne pitäisi tietysti yhdistää bonding-ajurilla myös toisessa päässä. Mutta tekeekö mikään vpn-palvelinsofta omaa tun/tap-laitetta palvelinpäähän per yhteys, jotta bonding-ajuria voisi käyttää? Joutuisinko siis ajamaan kahta vpn- palvelinta käyttäjää kohti? Muita vaihtoehtoja? Viritetään molempien yhteyksien kautta GRE (tai vastaava) tunneli, yhdisteään nämä bonding-ajurilla ja sitten vpn-yhteys sen kautta? En tiedä toimisiko.