Configurazione rete – Aggregazione WAN + Failover con Mikrotik + Firewall

TTechnetium · 17 mar

documibozu
Se hai visto la rete, è un'attività di una stazione sciistica

documibozu Peraltro una VPS, ove fosse necessaria, gli costa all'anno sui 100 euro, anche meno...non so tutto quel materiale mikrotik + assistenza su routeros (uno degli os più incasinati che abbia mai visto) quanto gli costi/sia costato

Perchè non conosci il settore. Quell'hw mikrotik costa veramente poco rispetto ad altri.

Quali hai visto di altri os?

Lorenzo1635
Sono tutti bloccati.
L'unica è farselo fare da un ISP che gli dedica un IP non datacenter. Uania fa questo di mestiere.
In ogni caso bisogna stare attenti perchè inevitabilmente aumenta la latenza.

LLSan83 · 17 mar

Draxen Questa è la situazione odierna, a dire il vero il router mikrotik non è mai stato messo. sta facendo da ferma porte. se qualcuno volesse darmi consigli sono ben accetti. siate magnanimi.

https://www.canva.com/design/DAGh0_l_UI4/2PPZlmmiue_omtfbAB79BA/edit?utm_content=DAGh0_l_UI4&utm_campaign=designshare&utm_medium=link2&utm_source=sharebutton

Allora... I due switch CRS326 hanno una cpu troppo modesta (siamo a circa 200 Mbps gestibili in totale tra entrate e uscita sommate), anche i L009UIGS-RM che hai preso sono parecchio lenti, vanno benino come switch, ma siamo a processore che regge circa 300 Mbps totali ( già la tua Intred 100+100 te ne mangia 2/3), dovresti guardare qualcosa con una cpu più potente tipo un RB5009 (circa 3000 Mbps gestibili, 15 volte i CRS326 e 10 volte i L009) che riuscirebbe a gestire il tutto in scioltezza (firewall, ruoting e load balancing).

Il failover è un problema di impostazioni (hai cpu lente, con prestazioni pessime, ma dovrebbero farlo andare anche se rallentando tutto), stessa cosa le VLAN, tutti i dispositivi Mikrotik le supportano (ma devi o studiartele tu o far venire un tecnico che conosce RuoterOS, il generico tecnico di paese non ci capirà mai un tubo, ci vogliono diverse decine di ore di studio dei manuali Mikrotik per cavarci fuori qualcosa).
Il problema vero è quello che tu pensi sia il load balance... non ti sommerà affatto le velocità delle due reti (Intred e Starlink), il singolo dispositivo che si collega ad internet non andrà mai più veloce della singola connessione da sola, semplicemente li smisti, alcuni su una e alcuni sull'altra, ma le velocità rimangono separate.

gio79 Il Mikrotik L009 non ha difficoltà a gestire quelle 2 wan,

Eccome se ha problemi:

La sua cpu è una lumaca, siamo a circa 300 Mbps di banda gestibile in totale, lui tra FWA e SL ne deve gestire almeno il doppio.

Con circa gli stessi soldi prendi un RB5009 che è dieci volte più veloce

gio79 però non è possibile fare aggregazione delle 2 wan in maniera semplice. ti serve una vps e qualche config ... vedi https://www.openmptcprouter.com/

Esatto, puoi fare balancing (alcune casse/pc/dispositivi su una rete, gli altri sulla seconda e failover per entrambe su quella che rimane su in caso di problemi). Per l'aggregazione meglio valutare servizi chiavi in mano tipo Uania.

gio79 Failover: trovi n guide su come si fa con Mikrotik. dal loro sito o loro forum trovi molte guide semplici.

Finchè non si cercano cose esotiche si

wtf · 18 mar

LSan83 Il problema vero è quello che tu pensi sia il load balance... non ti sommerà affatto le velocità delle due reti (Intred e Starlink), il singolo dispositivo che si collega ad internet non andrà mai più veloce della singola connessione da sola,

Questo è evidente dal significato del termine "load balance".
Nel caso specifico per l'op non avrebbe alcuna utilità pratica ottenere un aggregazione di banda verso un singolo dispositivo.

E' invece opportuno dimensionare i device che si intendono utilizzare in modo che abbiano performance adeguate come hai evidenziato.
In linea generale se devo fare routing comprerò un router, se mi serve switching comprerò uno switch ecc.

Draxen · 18 mar

un altro esperto mi ha risposto così

"errore principale, che invalida tutto il resto
il CRS326 è uno switch, e te gli stai facendo fare da router e firewall
non è adeguato

ti serve una routerboard a fare da router e il crs326 fa da switch

per il resto, come già ti avevo scritto, una configurazione con dual wan non è così semplice su mikrotik, cioè per chi conosce routeros è una caxxata, ma nella tua configurazione vedo sbagli di tutti i tipi, usi il mark dei pachetti con le routing table, ma poi da nessuna parte vedo le route specificate per le routing table, poi mancano tutte le impostazioni delle firewall rules, ecc

insomma, è fatta tutta male e sull'apparato sbagliato.

Non è banale iniziare a lavorae con mikroti, devi leggere guide, manuali, provare e riprovare, avere conoscenza di networking, ecc. Se vuoi qualcosa di "veloce e pronto" metti un mini pc con 4 ethernet e con opnsense e gli fai fare da firewall/router dual wan, imposti tutto da interfaccia web in poco

il crs326 tienilo com switch, metti tutte le porte in bridge e via, magari un domani ci potrai fare le vlan

link mini pc:
https://shop.opnsense.com/new-dec600-series-opnsense-desktop-security-appliances/"

cosa ne pensate ?

LLorenzo1635 · 18 mar

Draxen Se vuoi qualcosa di "veloce e pronto" metti un mini pc con 4 ethernet e con opnsense e gli fai fare da firewall/router dual wan, imposti tutto da interfaccia web in poco

Per carità, funziona e ha pure ragione, ma definirlo "veloce e pronto"...

Però, scusami un attimo, puoi ripetere cosa vorresti ottenere?

a. Il fare uno speedtest e vedere la somma di Starlink + Intred non è fattibile. Si chiama Bonding e richiede una VPS esterna da cui fare uscire il traffico e ti costa un sacco se non è una soluzione DIY.
b. Ok, ti serve il failover. Ci sta.
d. Il load-balancing puoi decidere che certe subnet escono da Starlink o da Intred ma ha senso? In che contesti? Perchè se non hai tanta banda bisogna valutarne il senso specie perchè sono due connessioni molto diverse.
c. Le VLAN come devi segmentare la rete interna?

Draxen · 18 mar

Lorenzo1635
Failover efficace: per garantire continuità operativa in caso di guasto di una connessione o di un dispositivo di rete.
• Sistema di gestione del traffico (es. firewall o router): per instradare le reti in base alla necessità, assegnando priorità a certi tipi di traffico.
• Limite di banda per dispositivo: per evitare congestioni e garantire che nessun dispositivo monopolizzi la rete.
• Load balancing non necessario a questo punto.

Non spendere 5.000€ per fare queste cose. Ne ho già spesi 2.000€ prima. Tutto qua

LLorenzo1635 · 18 mar

Draxen assegnando priorità a certi tipi di traffico.

Certi tipi di traffico o certi dispositivi/VLAN? Perché nel secondo caso hai policy più semplici

Draxen · 18 mar

Lorenzo1635 mi interessa solo che i 3 pc in biglietteria stiano con Intred.
Il resto chiunque può andare dappertutto.

LLorenzo1635 · 18 mar

Draxen

Ok. Ora si ragiona. Dual-WAN con Failover e load-balacing basato su policy.

Chi ti fà supporto per la rete Mikrotik sa usare anche pfSense/OPNSense?

In ogni caso nulla ti vieta di provarlo un attimo in una macchina virtuale per vedere com'è la WebUI per la gestione.

TTechnetium · 18 mar

Draxen Ne ho già spesi 2.000€ prima.

Non nei dispositivi mikrotik

LLSan83 · 19 mar

Technetium Non nei dispositivi mikrotik

Vista la quantità di banda da gestire comunque quei due modelli di Mikrotik meglio usarli come normali switch gestiti (configurazione semplice o con VLAN) e in ogni caso prendere qualcos'altro come router (a questo punto può essere anche di altro marchio se non si sa come configurarli ).
Già usarli come solo come switch con VLAN, senza ruoting, senza firewall, senza failover, non è banale se non li si conosce.
RuoterOS non astrae tutte le funzioni, e molte cose (tipo le VLAN) hanno configurazioni dedicate al singolo chipset del singolo modello di switch/router di Mikrotik (soprattutto sui vecchi switch CRS1xx/CRS2xx). Per questo per ogni modello c'è lo schema logico del circuito sul sito... A seconda di come sono collegati i componenti interni si valuta la configurazione migliore.

TTechnetium · 19 mar

LSan83
Lo so benissimo

Draxen · 19 mar

LSan83 Si può continuare in privato questa conversazione o viola le regole ? fatemi sapere

gio79 · 19 mar

LSan83 La sua cpu è una lumaca, siamo a circa 300 Mbps di banda gestibile in totale, lui tra FWA e SL ne deve gestire almeno il doppio.

Se non sbaglio si guarda la prima colonna, ovvero payload di 1518 byte che il payload di un frame ethernet...
e lì riporta 970Mbps.
quindi quel router 1G lo "dovrebbe" gestire senza problemi, la somma delle 2 connessioni arriva a forse 350MB

LLSan83 · 19 mar

gio79 Se non sbaglio si guarda la prima colonna, ovvero payload di 1518 byte che il payload di un frame ethernet...
e lì riporta 970Mbps.

Per impostazioni ultra basiche. Per scenari come il suo (dual Wan, failover, balancing con policy, queue per quote di banda differenziate, firewall, ecc ecc) che hanno bisogno probabilmente anche di mangle e VLAN disattivando tutte le accelerazioni hardware, non si guarda il 1518 ma il 512 per un valore realistico nel scegliere hardware mikrotik. Quindi siamo a circa 300 Mbps gestibili.
E se lo configuri male vai ancora più lento, molto più lento. C'è pieno il web di gente che configura male i RB5009 (che a 512 sono oltre i 3000 Mbps) e viaggiano bene sotto i 2000 Mbps.

gio79 quindi quel router 1G lo "dovrebbe" gestire senza problemi, la somma delle 2 connessioni arriva a forse 350MB

Vedi sopra, no non li regge in scenari come il suo. E le due connessioni sono a salire... Starlink da sola oggi fa 350MB a cui aggiungere i 200 MB della sua fwa (100 dl + 100 ul). Quindi già oggi deve gestire 550MB con fwa+Starlink che aumenterà la velocità nel tempo (1 Gbps arriverà sicuramente in ritardo rispetto ai proclami, ma arriverà). Deve già considerare un router con almeno 1500 Mbps gestibili.

Draxen · 19 mar

ho scritto a una azienda, Miniserver di Torino, che configura apparati opensense. Loro a supporto del mio tecnico speriamo che ne cavino fuori qualcosa.
intanto grazie