Re: [FRnOG] [TECH] Dual WAN sur EdgeRouter

2019-11-16 Par sujet Paul Rolland (ポール・ロラン)
Hello,

On Fri, 15 Nov 2019 22:18:31 +0100
"Thibault S."  wrote:

> @raphael justement, je ne veut pas faire du load balancing, je ne peux
> donc pas me servir du wizard.
> 
> @david tu as bien compris la problématique. J'ai testé le PBR en précisant
> si trafic ipsec, alors route vers eth0. Résultat, plus rien en ipsec n'est
> routé correctement.
> Je dois encore creusé, et ne peut pas vraiment dire que ça grouille
> d'infos sur le net pour cette problématique chez Ubiquiti ...  

Il y a deux choses que tu peux regarder :
 - les histoires d'offload... sur UBNT, tu peux configurer differents types
   d'offload, pour que les paquets soient traites par autre chose que le
   proc. Mais je crois que me souvenir que c'est incompatible avec
   certaines fonctionnalites... Peut-etre que PBR/Ipsec + Offload/Ipsec, ca
   va pas ensemble,

 - les regles PBR, le Dual Wan, etc... tout ca, ca se termine en iptables.
   tu peux donc prendre ton courage a deux mains, faire un petit sudo bash
   dans une session ssh sur ton routeur, enchainer avec un iptables -L (et
   toutes les variantes qui vont avec), et regarder ce que la machine a
   compris de ce que tu lui as explique...

Paul
-- 
Paul RollandE-Mail : rol(at)witbe.net
CTO - Witbe.net SA  Tel. +33 (0)1 47 67 77 77
Les Collines de l'Arche Fax. +33 (0)1 47 67 77 99
F-92057 Paris La DefenseRIPE : PR12-RIPE

Please no HTML, I'm not a browser - Pas d'HTML, je ne suis pas un
navigateur "Some people dream of success... while others wake up and work
hard at it" 

"I worry about my child and the Internet all the time, even though she's
too young to have logged on yet. Here's what I worry about. I worry that 10
or 15 years from now, she will come to me and say 'Daddy, where were you
when they took freedom of the press away from the Internet?'"
--Mike Godwin, Electronic Frontier Foundation 


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Dual WAN sur EdgeRouter

2019-11-15 Par sujet Thibault S.
@raphael justement, je ne veut pas faire du load balancing, je ne peux donc
pas me servir du wizard.

@david tu as bien compris la problématique. J'ai testé le PBR en précisant
si trafic ipsec, alors route vers eth0. Résultat, plus rien en ipsec n'est
routé correctement.
Je dois encore creusé, et ne peut pas vraiment dire que ça grouille d'infos
sur le net pour cette problématique chez Ubiquiti ...

Belle soirée !

Le ven. 15 nov. 2019 à 09:07, Raphaël Jacquot  a écrit :

>
>
> Le 13/11/2019 à 12:11, Thibault S. a écrit :
>
> > Si j'utilise le Policy Based Routing, je peux demander à certains vLAN de
> > sortir sur l'un ou l'autre WAN. Mais ce que je veux est plutot : si je
> > rentre via eth0, faut que je sorte absolument par là aussi...
>
> il y a dans le firmware un wizard pour mettre en place un load balancing
> entre plusieurs wan...
>
> Raphael
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Dual WAN sur EdgeRouter

2019-11-15 Par sujet Raphaël Jacquot



Le 13/11/2019 à 12:11, Thibault S. a écrit :

> Si j'utilise le Policy Based Routing, je peux demander à certains vLAN de
> sortir sur l'un ou l'autre WAN. Mais ce que je veux est plutot : si je
> rentre via eth0, faut que je sorte absolument par là aussi...

il y a dans le firmware un wizard pour mettre en place un load balancing
entre plusieurs wan...

Raphael


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Dual WAN sur EdgeRouter

2019-11-13 Par sujet David Ponzone
Le tunnel IPsec, c’est encore plus facile, il est sourcé par l’IP WAN du 
routeur.
Donc tu fais un PR qui dit:
Si IP source = IP WAN1, alors route sur WAN1
etc…

C’est ce que je fais pour accéder par SSH sur une interface de management sur 
un Mikrotik multi-wan.

Si j’ai mal compris, c’est que tu as pas donné assez d’infos :)

> Le 13 nov. 2019 à 14:15, Thibault S.  a écrit :
> 
> Justement David, il est là le soucis.
> Si c'est un host, c'est sans soucis via PBR. Sauf qu'ici, je parle du tunnel 
> IPSec ^^
> 
> Merci déjà pour vos réponses


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Dual WAN sur EdgeRouter

2019-11-13 Par sujet Thibault S.
Justement David, il est là le soucis.
Si c'est un host, c'est sans soucis via PBR. Sauf qu'ici, je parle du
tunnel IPSec ^^

Merci déjà pour vos réponses

Le mer. 13 nov. 2019 à 12:45, David Ponzone  a
écrit :

> Non, son problème est classique, il parle de l’inverse: l’entrant.
>
> Ton paquet arrive par ISP 1, puis par exemple, port forward vers un
> serveur interne, réponse, qui sort en suivant le routage et/ou les règles
> de PR/LB par ISP 2: PATATRA.
>
> Il faut mettre une «  connection mark »  (en langages Mikrotik) sur la
> requête entrante:
> https://forum.mikrotik.com/viewtopic.php?t=49581
>
> Parfois, c’est plus simple de forcer le serveur interne concerné sur un
> des WAN en route principale.
>
> Le 13 nov. 2019 à 12:17, Jonathan Roulé  a
> écrit :
>
> Ton trafic sera naté sur les CPE de tes deux ISPs, non ? Dans ce cas si tu
> sors pas une Interface WAN tu rentreras également par cette dernière.
> Ou j'ai pas compris ta demande...
>
> Cordialement,
>
> Le mer. 13 nov. 2019 à 12:13, Thibault S.  a écrit :
>
> Bonjour à tous,
>
> Mes excuses par avance pour la question de noob, mais bon, un peu de savoir
> en plus, c'est toujours bon.
>
> En place actuellement : un EdgeRouter de Ubiquiti.
> eth6 : WAN
> eth7 : LAN
>
> Pas vraiment de routage, si ce n'est quelques vLAN. Et un VPN IPSec.
>
> J'aimerai activer un deuxième WAN (sur eth0) pour l'IPSec, pour décharger
> le WAN sur eth6 de cette fonction.
>
> Si j'utilise le Policy Based Routing, je peux demander à certains vLAN de
> sortir sur l'un ou l'autre WAN. Mais ce que je veux est plutot : si je
> rentre via eth0, faut que je sorte absolument par là aussi...
>
> Quelqu'un aurait déjà fait ça sur cette gamme ?
> Un bout de code ou de piste ?
>
> Grand merci,
>
> Thibault
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Dual WAN sur EdgeRouter

2019-11-13 Par sujet David Ponzone
Non, son problème est classique, il parle de l’inverse: l’entrant.

Ton paquet arrive par ISP 1, puis par exemple, port forward vers un serveur 
interne, réponse, qui sort en suivant le routage et/ou les règles de PR/LB par 
ISP 2: PATATRA.

Il faut mettre une «  connection mark »  (en langages Mikrotik) sur la requête 
entrante:
https://forum.mikrotik.com/viewtopic.php?t=49581 


Parfois, c’est plus simple de forcer le serveur interne concerné sur un des WAN 
en route principale.

> Le 13 nov. 2019 à 12:17, Jonathan Roulé  a écrit :
> 
> Ton trafic sera naté sur les CPE de tes deux ISPs, non ? Dans ce cas si tu
> sors pas une Interface WAN tu rentreras également par cette dernière.
> Ou j'ai pas compris ta demande...
> 
> Cordialement,
> 
> Le mer. 13 nov. 2019 à 12:13, Thibault S.  a écrit :
> 
>> Bonjour à tous,
>> 
>> Mes excuses par avance pour la question de noob, mais bon, un peu de savoir
>> en plus, c'est toujours bon.
>> 
>> En place actuellement : un EdgeRouter de Ubiquiti.
>> eth6 : WAN
>> eth7 : LAN
>> 
>> Pas vraiment de routage, si ce n'est quelques vLAN. Et un VPN IPSec.
>> 
>> J'aimerai activer un deuxième WAN (sur eth0) pour l'IPSec, pour décharger
>> le WAN sur eth6 de cette fonction.
>> 
>> Si j'utilise le Policy Based Routing, je peux demander à certains vLAN de
>> sortir sur l'un ou l'autre WAN. Mais ce que je veux est plutot : si je
>> rentre via eth0, faut que je sorte absolument par là aussi...
>> 
>> Quelqu'un aurait déjà fait ça sur cette gamme ?
>> Un bout de code ou de piste ?
>> 
>> Grand merci,
>> 
>> Thibault
>> 
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/


Re: [FRnOG] [TECH] Dual WAN sur EdgeRouter

2019-11-13 Par sujet Jonathan Roulé
Ton trafic sera naté sur les CPE de tes deux ISPs, non ? Dans ce cas si tu
sors pas une Interface WAN tu rentreras également par cette dernière.
Ou j'ai pas compris ta demande...

Cordialement,

Le mer. 13 nov. 2019 à 12:13, Thibault S.  a écrit :

> Bonjour à tous,
>
> Mes excuses par avance pour la question de noob, mais bon, un peu de savoir
> en plus, c'est toujours bon.
>
> En place actuellement : un EdgeRouter de Ubiquiti.
> eth6 : WAN
> eth7 : LAN
>
> Pas vraiment de routage, si ce n'est quelques vLAN. Et un VPN IPSec.
>
> J'aimerai activer un deuxième WAN (sur eth0) pour l'IPSec, pour décharger
> le WAN sur eth6 de cette fonction.
>
> Si j'utilise le Policy Based Routing, je peux demander à certains vLAN de
> sortir sur l'un ou l'autre WAN. Mais ce que je veux est plutot : si je
> rentre via eth0, faut que je sorte absolument par là aussi...
>
> Quelqu'un aurait déjà fait ça sur cette gamme ?
> Un bout de code ou de piste ?
>
> Grand merci,
>
> Thibault
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/


[FRnOG] [TECH] Dual WAN sur EdgeRouter

2019-11-13 Par sujet Thibault S.
Bonjour à tous,

Mes excuses par avance pour la question de noob, mais bon, un peu de savoir
en plus, c'est toujours bon.

En place actuellement : un EdgeRouter de Ubiquiti.
eth6 : WAN
eth7 : LAN

Pas vraiment de routage, si ce n'est quelques vLAN. Et un VPN IPSec.

J'aimerai activer un deuxième WAN (sur eth0) pour l'IPSec, pour décharger
le WAN sur eth6 de cette fonction.

Si j'utilise le Policy Based Routing, je peux demander à certains vLAN de
sortir sur l'un ou l'autre WAN. Mais ce que je veux est plutot : si je
rentre via eth0, faut que je sorte absolument par là aussi...

Quelqu'un aurait déjà fait ça sur cette gamme ?
Un bout de code ou de piste ?

Grand merci,

Thibault

---
Liste de diffusion du FRnOG
http://www.frnog.org/