[trantor]

Mis selle ruuteriga ongi nii et kuidas nüüd ilusti öeldagi....
Ostsin ta OpenVPN pärast ja selle funktsiooniga olen rahul. Väga mugavalt teeb confifaili ja siis saab selle androidile sisse sööta ja ei mingit keemiat ning VPN töötab.
Siis aga tahtsin kasutada ka seda dual-wan võimalust. Tahtsin teise wani panna wifi-purgi taha, mis võtab moblast tetherit. Ka see töötab ilusti.
Siis aga algas keemia.
Ma muidugi ei olnud huvitatud ei failoverist ega load-sharingust, vaid tahtsin lihtsalt reeglitega suunata kas wan1 või wan2.
Asuses on olemas kohe reeglid selle kohta ka. Panin siis sinna mingi 10 IP aadressi mis sisevõrgus leidus, primary WAN1 et läheks ikka ja ei hakkaks mingit pendeldamist wan-ide vahel.
See suunamine ka töötas. Siis aga kadus OpenVPN ära.
Ja see miks ta ära kadus on üpris labane põhjus. Nimelt ei tunne ta vähemalt selle wan-ide vahelise ruutimise puhul stateful sessioone.
OpenVPN paketiga juhtub selline asi -
1) OpenVPN pakett saabub Asuse ruuterisse
2) tavalise ruutimistabeli alusel suunatakse pakett õigesse sisevõrgu masinasse
3) paketi vastus tuleb tagasi ruuterisse
4) NÜÜD..kuna ruuter ei tunne stateful sessioone, siis ei tea ta mõhkugi mis pakett see tagasi tuli. Ta vaatab et WAN-ide vahel ruutimise reegel näeb ette et sellelt sisevõrgu masinalt peaks pakett minema WAN1-e (reeglis ongi valida ainult kas WAN-1 või WAN-2).
Muidugi peab minema kui see masin sessiooni algatas, kuid kindlasti mitte siis kui sellelt masinalt vastus tuli OpenVPN sessioonile.
4) pakett lendab muidugi kuupeale. ....
Siis tegin ma pisut maagiat. Võtsin kasutusele Zyxeli many-to-many NATi. Selle abil ma moblast ei kasuta mitte õiget subneti vaid "pseudo" subnetti, mille Zyxel siis õigeks vahetab. Selle "pseudo" subneti aadresse pole WAN-ide ruutimise tabelis ning seega lähevad tagasi paketid õigesse VPN kanalisse.
Asi toimib. Siis selgus et DNS päringu küsimisega on sama häda.
Tuli teha valik masinale mis küsib ainult DNS-i aga ei lähe interneti. Nii lahenes ka DNS probleem........
Aga mida kuradit, ma ostan poest ruuteri ning pean hakkama siis mingit mittestandardset keemiat tegema et asja tööle saada. Mis see on siis normaalne või? Asuse supporti andsin teada muidugi. Algul öeldi et see uus firmware, mille ma kohe peale ostu peale panin, on beeta versioon. Oli jah beeta versioon, kuid mis siis sellest. Ma millegipärast ei usu et varasemate versioonidega see ka siis üldse töötas. Viga on rohkem seda laadi et stateful funktsionaalsus on üldse ehitamata talle. Vaevalt et nüüd beeta versiooniga see järsku maha võeti. Üritasin ka suppordile seda selgeks teha ja nad lubasid kuhugi peamajja edasi teatada. Ega ma muidugi 100% kindel pole et see viga ka vanematel firmwaredel oli ja pole siiski mingi eriline progemise näpukas tekkinud beeta versiooniga. Aga lihtsalt ei viitsi hakata seda vanemat firmware vägistama sinna. Võibolla vanemal on jälle mõni teine ja hullem häda. Ja ebameeldiv on muidugi see et nende WAN ruutimiste reeglite seivimisel ruuter tahab restarti teha ja jube kaua üldse teeb restarti see Asus, mingi minuti. Tegin nii et Asusel on reeglid kindlate IP-de kohta ja teises tulemüüris, kus on ka dual-wan, kommuteerin kes kuhu kanalisee läheb. ......Aga mida kuradi nikerdamine. Kui mingil enterprise tulemüüril selline süüfilis kallal oleks, siis tehnikud tõuseksid öösel ka üles ja hommikuks oleks viga parandatud aga ma ei tea kaua Asus sellega muneb. Arvata võib et kaua kui üldse parandab......Kas te ise ka keegi kasutab seda RT-N18U ruuterit? Tegelikult ma ei kahetse ostu, OpenVPN toimib ja koos enda keemiaga toimib ka dual-wan ning hea on selle ruuteri puhul see et raud on tal jube võimas selle hinna kohta.

[Tanel]

Anna enterit ka.

[OFFF]

Veits segane kirjeldus, aga nagu ma aru saan, siis oled sa komistanud WLB põhiprobleemi otsa. Teatud kasutusjuhtude korral ei suuda marsruuter sessioone hoida "stickyna" ehk õige liidese küljes.
Mõnikord aitab see kui vpn "toru ots pahupidi pöörata". Selgitan: openvpn ISE oskab ka mitme IP peal vastata. Openvpn ja WLB koostöös tekib teatav konflikt, kus ovpn püüab mõlema liidese peal "balansseerida" ja siis WLB püüab ka oma tööd teha. Proovi sedasi, et bindi ovpn jäigalt ainult marsruuteri SISEMISE liidese IP külge ja tee dNAT välimise liidese ovpn pordi pealt sisemise liidese IP peale.
See peaks sinu openvpn mured lahendama. WLB on selline "tricky bastard" ja tõesti tootjad, ka SUURED tootjad ka "päris" seadmetel tihtipeale seda korralikult ei testi. WLB as "ainult seest välja" on OK, aga niipea kui dNAT ja vpn ja sõbrad mängu tulevad, hakkab üks jama pihta.
Muide, policy routinguga saab ka natuke neid hädasid leevendada, aga sa ei ole oma murega üksi. Seilasime, teame. Ime, et see sellise odavtootja kodumarsruuteril ÜLDSE mingil määral töötab.
[edit1]
kinkisin sulle mõned ENTERID
[edit2]
Täpsemalt sinu probleemi nimi on "asymmetric routing" ja "sticky sessions" (vähemalt google abil leiad just nende märksõnadega kõige rohkem analoogsete probleemide kirjeldusi)
[edit3]
Sinu pahameel on siiski natuke põhjendamatu.

[trantor]

[OFFF]

Openvpnile saab anda kaasa parameetri, millise liidese (IP) peal ta kuulab. Kui parameetrit ei pane, siis default on "kuula kõigi liideste peal". Jah, töötab küll ja sellega väldid seda probleemi, kus OVPN ja WLB mõlemad korraga püüavad balansseerida ja osa pakette läheb vale liidese peale.

[trantor]

[OFFF]

GUIs võib vastav valik tõesti puududa, aga ilmselt on kusagil seal marsruuteri "kõhus" peidus ka seadistuste fail, kuhu saab vastava parameetri lisada.
Ma väga sügavuti tõesti ei ole seda probleemi uurinud, aga mul kippus klient-server VPN ühe välise liidese pealt teise peale "klõpsima", kui OpenVPN kuulas kõiki liideseid. Kui seadistasin kuualama sisemisel liidesel ja tegin dNAT, siis lõppes selline "iseeneseslik" ümberlülitumine ära. Soovituse leidsin googlest, pikemalt ei ole analüüsinud, miks selline imelik käitumine ilmnes. YMMV of course.

[trantor]

[OFFF]

[trantor]