Bem-vindo à Comunidade UBNT

Dual Wan Balance com Vlan

Boas, tenho um edgerouter pro com uma configuração feita pelo wizard do router load balance.
Eth0 com wan1, e Eth1 com wan2 em modo de balance.
todas as outras portas Eth2/Eth7 estão configuradas com rede interna e todas com acesso a internet.
o problema e que tenho duas Vlans na porta Eth7 (Eth7.2 e Eth7.3) e nestas duas Vlans quando activo as duas Wan em simultaneo não consigo navegar na internet nas Vlans mas sim nas outras Ethx menos na Eth7.2 e Eth7.3.
se desactivar a wan1 ou a wan2 navego sem qualquer problema em ambas as vlans.

gostaria que alguem me ajudasse neste problema creio que me falta alguma configuração, na qual não estou a conseguir realizar solução.

Comentários

  • R4V3RR4V3R 8446 Pontos
    Olá @euricobarros, seja bem vindo à comunidade.
    Para que possamos analisar a situação, você precisa postar a configuração completa de seu roteador, OK?
  • Olá @R4V3R ; sou novo nisto e gostaria que me ajudasse um pouco como posso postar a configuração completa do router? ou seja como posso efectuar o download da mina configuração, qual seria o comando a usar no CLI para visualizar toda essa configuração ou existe alguma forma de efectuar o download da mesma?


    Obrigado.

  • R4V3RR4V3R 8446 Pontos
    Bom, você pode baixar a configuração através da interface web, mas o que precisamos é do arquivo config.boot que fica no diretório /config
    Ele representa a configuração ativa do roteador, que também pode ser visualizada com o comando "show configuration" em linha de comando.
    Para demais dúvidas, recomendo ler o manual de uso do equipamento: https://dl.ubnt.com/guides/edgemax/EdgeOS_UG.pdf
  • euricobarroseuricobarros 9 Pontos
    editado junho 2016

    Boas, ja tenho o config.boot como posso lhe enviar o ficheiro?


    Obrigado.



  • R4V3RR4V3R 8446 Pontos
    Poste aqui apenas o arquivo config.boot como eu menciono acima, é só disso que precisamos.
  • euricobarroseuricobarros 9 Pontos
    editado junho 2016
    admin@ubnt:~$ show configuration
    firewall {
    all-ping enable
    broadcast-ping disable
    group {
    network-group PRIVATE_NETS {
    network 192.168.0.0/16
    network 172.16.0.0/12
    network 10.0.0.0/8
    }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians disable
    modify balance {
    rule 10 {
    action modify
    description "do NOT load balance lan to lan"
    destination {
    group {
    network-group PRIVATE_NETS
    }
    }
    :
    firewall {
    all-ping enable
    broadcast-ping disable
    group {
    network-group PRIVATE_NETS {
    network 192.168.0.0/16
    network 172.16.0.0/12
    network 10.0.0.0/8
    }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians disable
    modify balance {
    rule 10 {
    action modify
    description "do NOT load balance lan to lan"
    destination {
    group {
    network-group PRIVATE_NETS
    }
    }
    :
    firewall {
    all-ping enable
    broadcast-ping disable
    group {
    network-group PRIVATE_NETS {
    network 192.168.0.0/16
    network 172.16.0.0/12
    network 10.0.0.0/8
    }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians disable
    modify balance {
    rule 10 {
    action modify
    description "do NOT load balance lan to lan"
    destination {
    group {
    network-group PRIVATE_NETS
    }
    }
    :
    firewall {
    all-ping enable
    broadcast-ping disable
    group {
    network-group PRIVATE_NETS {
    network 192.168.0.0/16
    network 172.16.0.0/12
    network 10.0.0.0/8
    }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians disable
    modify balance {
    rule 10 {
    action modify
    description "do NOT load balance lan to lan"
    destination {
    group {
    network-group PRIVATE_NETS
    }
    }
    modify {
    table main
    }
    }
    rule 20 {
    action modify
    description "do NOT load balance destination public address"
    destination {
    group {
    address-group ADDRv4_eth0
    :
    firewall {
    all-ping enable
    broadcast-ping disable
    group {
    network-group PRIVATE_NETS {
    network 192.168.0.0/16
    network 172.16.0.0/12
    network 10.0.0.0/8
    }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians disable
    modify balance {
    rule 10 {
    action modify
    description "do NOT load balance lan to lan"
    destination {
    group {
    network-group PRIVATE_NETS
    }
    }
    modify {
    table main
    }
    }
    rule 20 {
    action modify
    description "do NOT load balance destination public address"
    destination {
    group {
    address-group ADDRv4_eth0
    }
    }
    modify {
    table main
    }
    }
    rule 30 {
    action modify
    description "do NOT load balance destination public address"
    destination {
    group {
    address-group ADDRv4_eth1
    }
    }
    modify {
    table main
    }
    }
    rule 100 {
    action modify
    modify {
    lb-group G
    }
    :
    firewall {
    all-ping enable
    broadcast-ping disable
    group {
    network-group PRIVATE_NETS {
    network 192.168.0.0/16
    network 172.16.0.0/12
    network 10.0.0.0/8
    }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians disable
    modify balance {
    rule 10 {
    action modify
    description "do NOT load balance lan to lan"
    destination {
    group {
    network-group PRIVATE_NETS
    }
    }
    modify {
    table main
    }
    }
    rule 20 {
    action modify
    description "do NOT load balance destination public address"
    destination {
    group {
    address-group ADDRv4_eth0
    }
    }
    modify {
    table main
    }
    }
    rule 30 {
    action modify
    description "do NOT load balance destination public address"
    destination {
    group {
    address-group ADDRv4_eth1
    }
    }
    modify {
    table main
    }
    }
    rule 100 {
    action modify
    modify {
    lb-group G
    }
    }
    }
    :
  • euricobarroseuricobarros 9 Pontos
    editado junho 2016
    firewall {
    all-ping enable
    broadcast-ping disable
    group {
    network-group PRIVATE_NETS {
    network 192.168.0.0/16
    network 172.16.0.0/12
    network 10.0.0.0/8
    }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians disable
    modify balance {
    rule 10 {
    action modify
    description "do NOT load balance lan to lan"
    destination {
    group {
    network-group PRIVATE_NETS
    }
    }
    modify {
    table main
    }
    }
    rule 20 {
    action modify
    description "do NOT load balance destination public address"
    destination {
    group {
    address-group ADDRv4_eth0
    }
    }
    modify {
    table main
    }
    }
    rule 30 {
    action modify
    description "do NOT load balance destination public address"
    destination {
    group {
    address-group ADDRv4_eth1
    }
    }
    modify {
    table main
    }
    }
    rule 100 {
    action modify
    modify {
    lb-group G
    }
    }
    }
    name WAN_IN {
    default-action drop
    description "WAN to internal"
    rule 10 {
    action accept
    description "Allow established/related"
    state {
    established enable
    related enable
    }
    }
    rule 20 {
    action drop
    description "Drop invalid state"
    state {
    invalid enable
    }
    }
    }
    name WAN_LOCAL {
    default-action drop
    description "WAN to router"
    rule 10 {
    action accept
    description "Allow established/related"
    state {
    established enable
    related enable
    }
    }
    rule 20 {
    action drop
    description "Drop invalid state"
    state {
    invalid enable
    }
    }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
    }
    interfaces {
    ethernet eth0 {
    address dhcp
    description WAN
    duplex auto
    firewall {
    in {
    name WAN_IN
    }
    local {
    name WAN_LOCAL
    }
    }
    speed auto
    }
    ethernet eth1 {
    address dhcp
    description "WAN 2"
    disable
    duplex auto
    firewall {
    in {
    name WAN_IN
    }
    local {
    name WAN_LOCAL
    }
    }
    speed auto
    }
    ethernet eth2 {
    address 192.168.10.254/24
    description Local
    duplex auto
    firewall {
    in {
    modify balance
    }
    }
    speed auto
    }
    ethernet eth3 {
    address 192.168.120.254/24
    description DubaiDomain
    duplex auto
    speed auto
    }
    ethernet eth4 {
    address 192.168.121.254/24
    description Telefonia
    duplex auto
    speed auto
    }
    ethernet eth5 {
    duplex auto
    speed auto
    }
    ethernet eth6 {
    address 192.168.130.254/24
    description CCTV
    duplex auto
    speed auto
    }
    ethernet eth7 {
    address 192.168.150.254/24
    description Users_Guests
    duplex auto
    speed auto
    vif 2 {
    address 10.0.0.254/24
    description VlanUser
    mtu 1500
    }
    vif 3 {
    address 10.1.1.254/24
    description Vlan_Guests
    mtu 1500
    }
    }
    loopback lo {
    }
    }
    load-balance {
    group G {
    interface eth0 {
    }
    interface eth1 {
    }
    }
  • euricobarroseuricobarros 9 Pontos
    editado junho 2016

    }
    port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface eth6
    rule 1 {
    description "CCTV EDIFICIO"
    forward-to {
    address 192.168.130.250
    port 37250
    }
    original-port 37250
    protocol tcp
    }
    rule 2 {
    description "CCTV EDIFICIO"
    forward-to {
    address 192.168.130.250
    port 37778
    }
    original-port 37778
    protocol udp
    }
    rule 3 {
    description CCTV
    forward-to {
    address 192.168.130.249
    port 37249
    }
    original-port 37249
    protocol tcp
    }
    rule 4 {
    description CCTV
    forward-to {
    address 192.168.130.249
    port 37778
    }
    original-port 37778
    protocol udp
    }
    rule 5 {
    description CCTV
    forward-to {
    address 192.168.130.248
    port 37248
    }
    original-port 37248
    protocol tcp
    }
    rule 6 {
    description CCTV
    forward-to {
    address 192.168.130.248
    port 37778
    }
    original-port 37778
    protocol udp
    }
    rule 7 {
    description CCTV
    forward-to {
    address 192.168.130.247
    port 37247
    }
    original-port 37247
    protocol tcp
    }
    rule 8 {
    description CCTV
    forward-to {
    address 192.168.130.247
    port 37778
    }
    original-port 37778
    protocol udp
    }
    rule 9 {
    description "CCTV REST"
    forward-to {
    address 192.168.130.251
    port 37251
    }
    original-port 37251
    protocol tcp
    }
    rule 10 {
    description "CCTV REST"
    forward-to {
    address 192.168.130.251
    port 37778
    }
    original-port 37778
    protocol udp
    }
    rule 11 {
    description "CCTV REST"
    forward-to {
    address 192.168.130.251
    port 37778
    }
    original-port 251
    protocol tcp
    }
    rule 12 {
    description CCTV
    forward-to {
    address 192.168.130.248
    port 37248
    }
    original-port 248
    protocol tcp
    }
    rule 13 {
    description CCTV
    forward-to {
    address 192.168.130.246
    port 37246
    }
    original-port 246
    protocol tcp
    }
    rule 14 {
    description CCTV
    forward-to {
    address 192.168.130.250
    port 37250
    }
    original-port 250
    protocol tcp
    }
    wan-interface eth0
    }
    service {
    dhcp-server {
    disabled false
    hostfile-update disable
    shared-network-name CCTV {
    subnet 192.168.130.0/24 {
    default-router 192.168.130.254
    dns-server 192.168.130.254
    dns-server 8.8.8.8
    start 192.168.130.1 {
    stop 192.168.130.253
    }
    }
    }
    shared-network-name DubaiDomain {
    subnet 192.168.120.0/24 {
    default-router 192.168.120.254
    dns-server 192.168.120.1
    dns-server 8.8.8.8
    start 192.168.120.2 {
    stop 192.168.120.253
    }
    }
    }
    shared-network-name Guests {
    subnet 10.1.1.0/24 {
    default-router 10.1.1.254
    dns-server 10.1.1.254
    dns-server 8.8.8.8
    start 10.1.1.1 {
    stop 10.1.1.253
    }
    unifi-controller 192.168.120.1
    }
    }
    shared-network-name LAN {
    authoritative enable
    subnet 192.168.10.0/24 {
    default-router 192.168.10.254
    dns-server 192.168.10.254
    lease 86400
    start 192.168.10.38 {
    stop 192.168.10.243
    }
    }
    }
    shared-network-name Users {
    subnet 10.0.0.0/24 {
    default-router 10.0.0.254
    dns-server 10.0.0.254
    dns-server 8.8.8.8
    start 10.0.0.1 {
    stop 10.0.0.253
    }
    unifi-controller 192.168.120.1
    }
    }
    }
    dns {
    dynamic {
    interface eth0 {
    service custom-noip {
    host-name hoteldubai.no-ip.org
    login euricobarros@icloud.com
    password ****************
    protocol noip
    server dynupdate.no-ip.com
    }
    web dyndns
    }
    }
    forwarding {
    cache-size 150
    listen-on eth6
    }
    }
    gui {
    https-port 443
    }
    nat {
    rule 5000 {
    description "masquerade for WAN"
    outbound-interface eth0
    type masquerade
    }
    rule 5002 {
    description "masquerade for WAN 2"
    outbound-interface eth1
    type masquerade
    }
    }
    ssh {
    port 22
    protocol-version v2
    }
    }
    system {
    conntrack {
    expect-table-size 4096
    hash-size 4096
    table-size 32768
    tcp {
    half-open-connections 512
    loose enable
    max-retrans 3
    }
    }
    host-name ubnt
    login {
    user admin {
    authentication {
    encrypted-password ****************
    }
    level admin
    }
    }
    ntp {
    server 0.ubnt.pool.ntp.org {
    }
    server 1.ubnt.pool.ntp.org {
    }
    server 2.ubnt.pool.ntp.org {
    }
    server 3.ubnt.pool.ntp.org {
    }
    }
    syslog {
    global {
    facility all {
    level notice
    }
    facility protocols {
    level debug
    }
    }
    }
    time-zone America/Caracas
    }
    admin@ubnt:~$



  • R4V3RR4V3R 8446 Pontos
    A regra de firewall in modify está aplicada apenas à interface eth2 desse roteador. Se você quer acesso à internet em outras interfaces, tem que aplicar as mesmas regras nestas interfaces, incluindo toda e qualquer interface virtual(VIF).
    Logicamente, se você quiser tratar o tŕafego de maneira diferente você também pode fazer isso, podendo inclusive criar outros grupos de balanceamento que funcionem de maneira diferente, mas em suma, o que falta é apenas as regra de firewall em cada interface:

    firewall {
    in {
    modify balance
    }
    }
  • Boas, o problema não é o acesso a internet nas outras interfaces, quando tenho as duas interfaces de wan activas apenas me da internet desde a interface de Eth2 ate a Eth7 ou seja todas as interfaces logicas tem internet apenas fico sem internet nas interfaces virtuais nas Vlan 7.2 e Vlan 7.3 que estão associadas a Eth7 ou seja se desligo uma Wan seja la ela qual for fico com internet em todas as interfaces logicas e até mesmo nas virtuais Vlan2 e vlan3 se activo as duas wans apenas fico sem internet nas Valns 2 e 3
  • R4V3RR4V3R 8446 Pontos
    Releia meu post acima, por favor.
    Como você está usando uma regra de load-balance, você precisa da regra firewall in modify em TODAS as interfaces LAN, inclusive interfaces virtuais do tipo VIF.
  • Boas, criei as regras de firewall in a todas as interfaces como me disse e na mesma não consigo navegar na internet nas vlans com o load balance com as duas wans activas apenas navego se desactivar uma wan. ou seja continuo na mesma existe alguma possibilidade de usar as duas internet em simultaneo sem sem em load balance ou aconselha o load balance?
  • R4V3RR4V3R 8446 Pontos
    Olha, ter como, tem sim, mas somente se você configurar tudo manualmente, o que não aconselho a fazer.
    O recurso "load-balance" do sistema operacional, justamente cuida de diversas questões por conta própria, para que você não precise fazer isso.
    Você deve ter outros problemas relancionados à sua conexão de internet... Por acaso elas não são do mesmo provedor, são?
    Quais os servidores DNS estão sendo utilizados? Eles são acessíveis através de ambos os provedores?
  • Boas, não, os provedores são diferentes
  • Bom dia.
    Sei que o post e de longa data. Mas estava com o mesmo problema.
    A solução foi colocar as interfaces da vlan no dns cache.
Entre ou Registre-se para fazer um comentário.