Очень нужно настроить Squid3 -> 2 параллельных провайдера (USB, USB)

Question

[Роман Василенко]

Здравствуйте!

Бьюсь уже два месяца с проблемой: не могу настроить выход в интернет из локальной сети через двух провайдеров.

Мне нужно, чтобы прокси-сервер на squid при обращении к нему, отправлял запросы на модем и роутер в соотношении 1:1 или 1:2. Короче, чтобы если через squid - задействуются два канала.
И я не имею ввиду какое-то склеивание каналов для увеличения мощности - нужно работать только на уровне распределения запросов.

Что имею:
- Локальная сеть 192.168.2.0/24
- Роутер Zyxel Keenetic Giga II, IP: 192.168.2.1, шлюз
- Сервер с Ubuntu 12.04.4 LTS, на котором работают нужные мне службы и установлен Squid3. IP: 192.168.2.10
- USB-модем MegaFon 100-3 (ZTE MF-823), воткнут в Zyxel Keenetic Giga II
- USB-модем Билайн (ZTE MF-667), воткнут в Сервер с Ubuntu 12.04.4 LTS

Конфигурация сервера:

/etc/network/interfaces:
# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.2.10
netmask 255.255.255.0
network 192.168.2.0
broadcast 192.168.2.255
gateway 192.168.2.1
# dns-* options are implemented by the resolvconf package, if installed
dns-nameservers 8.8.4.4 8.8.8.8

# 3G Modem
iface ppp0 inet wvdial
provider wvdial
auto ppp0

wvdial.conf:
[Dialer Defaults]
Init1 = ATZ
Init2 = ATQ0 V1 E1 S0=0 &C1 &D2 +FCLASS=0
Init3 = AT+CGDCONT=1,"IP","home.beeline.ru"
Modem Type = Analog Modem
Phone = *99#
ISDN = 0
Password = beeline
New PPPD = 1
Username = beeline
Modem = /dev/ttyUSB1
Baud = 9600
Stupid Mode = 1
Auto Reconnect = on
Idle Seconds = 0

Есть ещё скрипт, которым я пытался настроить требуемое:
#!/bin/sh
IF1=eth0
IP1=192.168.2.1
P1=192.168.2.1
P1_NET=192.168.2.0/24

IF2=ppp0
IP2=`ip address show | grep ppp0 | sed '1d' | awk '{print $2}'`
P2=`ip route show dev ppp0 | awk '/r/ { print $1 }'`
P2_NET=`ip route show dev ppp0 | awk '/r/ { print $1 }'`/32

ip route add $P1_NET dev $IF1 src $IP1 table zyxel
ip route add default via $P1 table zyxel
ip route add $P2_NET dev $IF2 src $IP2 table beeline
ip route add default via $P2 table beeline

ip route add $P1_NET dev $IF1 src $IP1
ip route add $P2_NET dev $IF2 src $IP2

#ip route add default via $P1

ip rule add from $IP1 table zyxel
ip rule add from $IP2 table beeline

ip route add default scope global nexthop via $P1 dev $IF1 weight 1 \
nexthop via $P2 dev $IF2 weight 1

Но, когда я его запускаю, интернет пропадает, а понять, почему - мне не хватает ума.
Я не админ и делаю это вынуждено, потому что больше некому. Помогите, пожалуйста.

Answer 1

[Клёвый Админ]

Коллега, приветствую! Я немного покапитаню, добавлю комментариев в ваш скрипт,

чтобы вы понимали логику и мы говорили на одном языке:

#!/bin/sh
#Описываем переменные первого интерфейса и его подсеть
IF1=eth0
IP1=192.168.2.1
P1=192.168.2.1
P1_NET=192.168.2.0/24
#Аналогично для второго (но влоб это сделать нельзя, потому достаём всё динамически через grep)
IF2=ppp0
IP2=`ip address show | grep ppp0 | sed '1d' | awk '{print $2}'`
P2=`ip route show dev ppp0 | awk '/r/ { print $1 }'`
P2_NET=`ip route show dev ppp0 | awk '/r/ { print $1 }'`/32
#Создаём первую таблицу маршрутизации
ip route add $P1_NET dev $IF1 src $IP1 table zyxel
#задаём для неё шлюз по умолчанию
ip route add default via $P1 table zyxel
#Аналогично со второй
ip route add $P2_NET dev $IF2 src $IP2 table beeline
ip route add default via $P2 table beeline

#Задаём два правила для ответа на входящий трафик, откуда пришёл, туда и ответить
ip route add $P1_NET dev $IF1 src $IP1
ip route add $P2_NET dev $IF2 src $IP2

#задаём правило трафика по-умолчанию (сами закомментили?)
#ip route add default via $P1
#дополнительно говорим, что при трафик от айпи интерфейса, ответить с использование соотв. таблиц (в первую очередь для для DNAT)
ip rule add from $IP1 table zyxel
ip rule add from $IP2 table beeline

#Определяем веса таблиц, которые мы создали и говорим что их нуджно использовать после основной (в которой у нас по идее пусто)
ip route add default scope global nexthop via $P1 dev $IF1 weight 1 nexthop via $P2 dev $IF2 weight 1

Собственно, что показалось странным (и возможно ошибочным)
1. Нет маскарадинга, для трафика. В случае с зикселем он вам, скорее всего, не нужен, а вот с модемом без этого точно не заработает
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -s $P1_NET -o $IF2 -j MASQUERADE
2. Зачем закоментили маршрут по-умолчанию в скрипте?
#ip route add default via $P1
снимите, проверьте
3. После выполнения скрипта - пингуйте шлюзы по умолчанию (ifconfig вам их покажет), а так же смотрите вывод route - там должны быть видны две таблицы маршрутизации и маршруты для всего и вся.

Comments

[Роман Василенко]

1. Да, я не делал маскарадинг, в силу неискушённости и непонимания, как это всё связывается. Я попробую в понедельник или, может, в воскресенье, если пропустят в офис.
2. Маршрут закомментил в ходе бесчеловечных опытов. Как видите, не помогло :)
3. Правильно ли я понимаю, что надо будет делать ping $IP -I $IF (конечно, вместо переменных реальные значения подставлю.) ?

И - Спасибо вам огромное за то что помогаете. Это очень давняя моя проблема, она не жизненно важна для работы, но подтачивает чувство собственной полноценности :)
Спасибо.

[Клёвый Админ]

1. Без NAT через модем работать не будет
2. Маршрут нужен, иначе iptables не может к nexthop перейти
3. Можно пинговать шлюзы по умолчанию, если пинг до модемного шлюза пойдёт - значит пол дела сделано, дальше пинговать 8.8.8.8 интерфейс можно для начала не указывать
Да не за что. На Микротике за 10 минут бы такую схему реализовал (там всё много нагляднее)

[Роман Василенко]

О, как интересно. Надо будет поэкспериментировать с RouterOS.

[Роман Василенко]

Вот протокол запуска скрипта, исправленного вами:

+ IF1=eth0
+ IP1=192.168.2.1
+ P1=192.168.2.1
+ P1_NET=192.168.2.0/24
+ IF2=ppp0
+ sed 1d
+ ip address show
+ awk {print $2}
+ grep ppp0
+ IP2=10.39.181.223
+ + awk /r/ { print $1 }
ip route show dev ppp0
+ P2=10.64.64.64
+ + awk /r/ { print $1 }
ip route show dev ppp0
+ P2_NET=10.64.64.64/32
+ ip route add 192.168.2.0/24 dev eth0 src 192.168.2.1 table zyxel
RTNETLINK answers: Invalid argument
+ ip route add default via 192.168.2.1 table zyxel
+ ip route add 10.64.64.64/32 dev ppp0 src 10.39.181.223 table beeline
+ ip route add default via 10.64.64.64 table beeline
+ ip route add 192.168.2.0/24 dev eth0 src 192.168.2.1
RTNETLINK answers: Invalid argument
+ ip route add 10.64.64.64/32 dev ppp0 src 10.39.181.223
RTNETLINK answers: File exists
+ ip route add default via 192.168.2.1
+ ip rule add from 192.168.2.1 table zyxel
+ ip rule add from 10.39.181.223 table beeline
+ ip route add default scope global nexthop via 192.168.2.1 dev eth0 weight 1 nexthop via 10.64.64.64 dev ppp0 weight 1
RTNETLINK answers: File exists
+ iptables -t nat -F POSTROUTING
+ iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o ppp0 -j MASQUERADE

root@JEWELSRV:/home/scripts# ifconfig
eth0 Link encap:Ethernet HWaddr 50:46:5d:b4:9e:88
inet addr:192.168.2.10 Bcast:192.168.2.255 Mask:255.255.255.0
inet6 addr: fe80::5246:5dff:feb4:9e88/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1399 errors:0 dropped:0 overruns:0 frame:0
TX packets:1445 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:344882 (344.8 KB) TX bytes:383640 (383.6 KB)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:1448 errors:0 dropped:0 overruns:0 frame:0
TX packets:1448 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:576631 (576.6 KB) TX bytes:576631 (576.6 KB)

ppp0 Link encap:Point-to-Point Protocol
inet addr:10.39.181.223 P-t-P:10.64.64.64 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1
RX packets:7 errors:0 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:130 (130.0 B) TX bytes:181 (181.0 B)

root@JEWELSRV:/home/scripts# ip r
default via 192.168.2.1 dev eth0
default via 192.168.2.1 dev eth0 metric 100
10.64.64.64 dev ppp0 proto kernel scope link src 10.39.181.223
192.168.2.0/24 dev eth0 proto kernel scope link src 192.168.2.10

root@JEWELSRV:/home/scripts# ping -c 4 8.8.4.4 -I eth0
PING 8.8.4.4 (8.8.4.4) from 192.168.2.10 eth0: 56(84) bytes of data.
64 bytes from 8.8.4.4: icmp_req=1 ttl=44 time=145 ms
64 bytes from 8.8.4.4: icmp_req=2 ttl=44 time=82.0 ms
64 bytes from 8.8.4.4: icmp_req=3 ttl=44 time=75.0 ms
64 bytes from 8.8.4.4: icmp_req=4 ttl=44 time=79.5 ms

--- 8.8.4.4 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3003ms
rtt min/avg/max/mdev = 75.070/95.590/145.617/28.994 ms

root@JEWELSRV:/home/scripts# ping -c 4 8.8.4.4 -I ppp0
PING 8.8.4.4 (8.8.4.4) from 10.39.181.223 ppp0: 56(84) bytes of data.
64 bytes from 8.8.4.4: icmp_req=1 ttl=42 time=816 ms
64 bytes from 8.8.4.4: icmp_req=2 ttl=42 time=406 ms
64 bytes from 8.8.4.4: icmp_req=3 ttl=42 time=345 ms
64 bytes from 8.8.4.4: icmp_req=4 ttl=42 time=404 ms

--- 8.8.4.4 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3002ms
rtt min/avg/max/mdev = 345.060/492.943/816.379/188.343 ms

Получается, пинг есть со всех интерфейсов, а маршрут почему-то не прописался.

[Клёвый Админ]

Да, судя по протоколу там в скрипте ошибки. Надо копать. Почитай пока про route rule и попробуй добавить их отдельно после запуска скрипта. Я пока погуглю)

[Роман Василенко]

А может ли быть проблема в том, что трафик приходит по eth0 и уходит на него же? В том смысле, что обычно же локалка сидит на одном eth, а мир - на другом.

[Клёвый Админ]

@farewell вообще проблем возникнуть не должно. Нат конечно себя в таком режиме вёл бы не ахти как, но у нас как раз для такого случая ната в срипте нет. Т.е. iptables просто маршрутизирует пакеты. Но для чистоты эксперимента можно выделить для отдельную подсеть, если есть возможность. Проверь =)

[Роман Василенко]

Да вот понимать бы ещё, что делаю. Нелегко быть тупым... (

[Клёвый Админ]

@farewell да ладно тебе =) Может есть возможность поставить отдельно системник \ виртуалку с routeos?

[Роман Василенко]

У меня есть старючий ящик (2003 г) PE64MT. Оно там установится?

[Клёвый Админ]

@farewell неее. так лучше не рисковать. =) Я в общем ещё немного времени потрачу погуглю, если чего найду напишу.

[Роман Василенко]

@ifaustrue Я тут ещё одну тему поднял. Она пока не снимает текущего вопроса, но...
Хотелось бы услышать впечатления о RouterOS и железках MikroTik

Answer 2

[shaazz]

Честно говоря не понятна суть вопроса. Обычно требуется при двух провайдерах резервирование канала (достигается определенным количеством пингов с определенным таймаутом на внешний адрес и, при отсутсвии ответов, переключение на резерв), либо балансировка spillover (при достижении заданного порога, используется одновременно второй канал), round robin (по очереди). Настраивается это на одном оборудовании. То есть, либо на железке Zyxel если она поддерживает резервирование каналов или балансировку, где один вход USB-свисток, второй - Ubuntu по ethernet -> WAN. Но так как у тебя на Ubuntu еще крутятся сервисы - тебе это не подходит (сервер за WAN не будет виден). Поэтому шлюзом у тебя должен быть Ubuntu сервер, где один вход USB-свисток, второй - Zyxel по ethernet (и соответственно вторая сетевуха должна быть на серваке для локалки). Либо пробовать выкинуть Zyxel из этой схемы и два свистка воткнуть в Ubuntu и ее настраивать. Балансировка в Ubuntu.

Comments

[Роман Василенко]

Сервисы не нужно выпускать в мир. Железка тупая и не поддерживает несколько каналов ни в каком виде. Нужно, чтобы squid пускал запросы через eth0 на железку и на ppp0 (модем) в пропорции 1:2.

[Роман Василенко]

Я пробовал описанную балансировку, но, как уже сказал, не хватает ума понять, почему оно не хочет работать.
По сути, все методы, что есть в сети, крутятся вокруг iptables2, но для меня это нечто непостижимое.