Purtroppo non è facile stare seduti davanti ad un PC (anche se è un bel iMac) dopo un intervento al ginocchio.

Ma veniamo all’articolo. Forse il titolo non rende l’idea ma l’argomento di oggi risponde a questa domanda: avendo due connessioni ad Internet collegate alla mia Linux box che funge da router, come faccio a gestire il fail di una delle connessioni inoltrando a quella funzionante il traffico?

Per meglio comprende l’articolo, vi consiglio di spulciare velocemente due miei vecchi post:

1. iproute: load balance verso 2 gateway (IMPORTANTISSIMO!)
2. iproute: load balance verso 2 gateway della stessa rete

Rinfrescata la memoria sul routing di Linux, passiamo ad analizzare la logica di funzionamento dello script.

La strada migliore per verificare lo stato di una connessione è inoltrare verso il link qualche pacchetto e verificare che torni indietro una risposta.

Lo script non fa altro che pingare un host o in IP esterno pubblico, raggiungibile ed aperto al ping, attraverso i due link a nostra disposizione, se il ping fallisce tutto il traffico passa all’interfaccia funzionante.

Potete scaricare il file da qui e subito dopo editarlo da root per variare queste impostazioni:

# Frequenza in secondi con cui fare il check delle connessioni
SLEEPTIME=10

# IP o host esterno da pingare per effettuare le prove
TESTIP=www.google.com

# Timeout del ping in secondi
TIMEOUT=2

# Interfacce
EXTIF1=eth1
EXTIF2=eth2

# Indirizzi IP delle interfacce
IP1=192.168.1.7
IP2=192.168.0.7

# Gateway delle interfacce
GW1=192.168.1.1
GW2=192.168.0.1

# Weights del router. Nella mia guida erano entrami ad 1 per fare il round robin delle connessioni:
# Guarda questa riga: ip route add default scope global nexthop via $P1 dev $IF1 weight 1 nexthop via $P2 dev $IF2 weight 1
# Presente nell'articolo http://ideafactory.it/debian/iproute-load-balance-verso-2-gateway.html
W1=1
W2=1

# Nome dei provider utilizzati
NAME1=ngi
NAME2=fastweb

# Numero di ripetizioni di successo o di fallimento prima di cambiare lo stato alla connessione
SUCCESSREPEATCOUNT=4
FAILUREREPEATCOUNT=1


Come potete vedere utilizzo come host esterno da pingare www.google.com che ADESSO risulta raggiungibile tramite ping, vi consiglio di specificare qualche VOSTRO server così siete sicuri che il fail della connessione non sia dovuto al cambio delle regole di firewall dell’host a cui sono diretti i ping.

Io vi consiglio di salvare lo script in /usr/local/bin (ovviamente faccio riferimento a Debian) così sarà presente nel path di sistema senza specificare ogni volta il percorso assoluto per richiamarlo.

Una volta salvato nella directory che preferite vanno settati i permessi giusti:

chmod 755 /usr/local/bin/checkgw

Adesso potete eseguire lo script.

Inizialmente potete NON metterlo in background, così si può verificare il corretto funzionamento ma poi vi consiglio di lanciare lo script in questo modo:

checkgw &

Se volete che lo script venga eseguito all’avvio potete inserirlo in /etc/rc.local.

Spero che con questo articolo sia riuscito ad accontentare molti visitatori di IdeaFactory e vi ricordo che se avete bisogno di soluzioni personalizzate, avanzate, professionali e sempre funzionanti potete contattarmi.

Cosa succede se i gateway appartengono alla stessa sotto rete? Problema tirato fuori da Alessandro attraverso i commenti dell’articolo “iproute: load balance verso 2 gateway“.

Supponiamo che l’indirizzo di rete della nostra LAN sia 192.168.1.0/24 e che all’interno ci siano due gateway:

1. 192.168.1.1 (router di Alice)
2. 192.168.1.254 (router di Micso)

E’ indispensabile creare le tabelle di routing aggiuntive di iproute editando il file /etc/iproute2/rt_tables:

#
# reserved values
#
255     local
254     main
253     default
# Aggiunte
252     alice
251     micso
# Fine
0       unspec
#
# local
#
#1      inr.ruhep

Disabilitiamo l’rp_filter per l’interfaccia ethernet (nel mio caso eth0):

echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter

Abilitiamo l’ip forward (forse non serve):

echo 1 > /proc/sys/net/ipv4/ip_forward

Marchiamo i pacchetti in base al mac address di provenienza:

iptables -t mangle -I PREROUTING -m mac --mac-source 00:1c:a2:e6:dc:10 -j MARK --set-mark 1
iptables -t mangle -I PREROUTING -m mac --mac-source 00:1a:c1:36:a7:c4 -j MARK --set-mark 2

00:1c:a2:e6:dc:10: MAC router di Alice
00:1a:c1:36:a7:c4: MAC router di Micso

Creiamo il routing per i pacchetti marcati:

ip rule add fwmark 2 lookup micso
ip rule add fwmark 1 lookup alice

Adesso aggiungiamo l’ip della macchina linux su cui stiamo lavorando alle due tabelle di routing appena create:

ip rule add from 192.168.1.7 table alice
ip rule add from 192.168.1.7 table micso

Per sicurezza aggiungiamo anche l’ip locale:

ip rule add from 127.0.0.1 table micso
ip rule add from 127.0.0.1 table alice

Cancelliamo la regola di routing di default:

route del default

Tramite iproute settiamo il load balance attraverso i due gateway:

ip route add default scope global nexthop via 192.168.1.1 dev eth0 weight 1 nexthop via 192.168.1.254 dev eth0 weight 1

Eh tutti vissero felici e contenti!:)

Spero di aver dato una mano ad Alessandro e a tutti quelli che sono incappati nella medesima configurazione.

Per finire ricordo che le tabelle di routing  (alice e micso), l’ip della linux box (192.168.1.7) , gli ip dei gateway (192.168.1.1 e 192.168.1.254) ed i MAC address dei 2 router (00:1c:a2:e6:dc:10 e 00:1a:c1:36:a7:c4) devono essere adattati alle proprie esegenze.

In questo articolo descriverò com’è possibile dividire il traffico proveniente dalla vostra LAN verso due gateway di due provider distinti in modo tale da velocizzare il download dei client.

Schemattizzando la rete, dovremmo avere questo:

Premesso che:

• la Linux box è gia configurata a fare il masquerading della LAN
• le interfacce LAN, Provider 1 e Provider 2 sono gia configurate e funzionanti
• tutto funziona correttamente verso il gateway di default

Sarà necessario installare iproute:


apt-get install iproute


Adesso aggiungiamo le due nuove tabelle di routing nel file /etc/iproute2/rt_tables:


255 local
254 main
253 default
#Righe aggiunte
252 ngi
251 fastweb
#Fine
0 unspec

Come potete vedere, ho aggiunto due tabelle che si chiamano ngi e fastweb così non ho difficoltà a ricordare i provider che utilizzo.

Una volta salavato il file sarà necessario creare questo script:

#!/bin/bash
### VARIABILI DA SETTARE
#Interfaccia LAN
IF0="eth0";
# Network dell'interfaccia LAN
P0_NET="";
# Interfaccia provider 1
IF1="eth1";
# IP dell'interfaccia associata al provider 1
IP1="";
# Gateway del provider 1
P1="";
# Network del provider 1
P1_NET="";
# Tabella di routing provider 1
T1="fastweb";
# Interfaccia provider 2
IF2="eth2";
# IP dell'interfaccia associata al provider 2
IP2="";
# Gateway del provider 2
P2="";
# Network del provider 2
P2_NET="";
# Tabella di routing provider 2
T2="ngi";
## FINE VARIABILI DA SETTARE
# Attivazione ip_forward e rp_filter...
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth1/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth2/rp_filter
ip route add $P1_NET dev $IF1 src $IP1 table $T1
ip route add default via $P1 table $T1
ip route add $P2_NET dev $IF2 src $IP2 table $T2
ip route add default via $P2 table $T2
ip rule add from $IP1 table $T1
ip rule add from $IP2 table $T2
ip route add $P0_NET dev $IF0 table $T1
ip route add $P2_NET dev $IF2 table $T1
ip route add 127.0.0.0/8 dev lo table $T1
ip route add $P0_NET dev $IF0 table $T2
ip route add $P1_NET dev $IF1 table $T2
ip route add 127.0.0.0/8 dev lo table $T2
# Rimuovo il gateway di default
route del default
# Load balance tra le connessioni
ip route add default scope global nexthop via $P1 dev $IF1 weight 1 nexthop via $P2 dev $IF2 weight 1


Salvate lo script settando le variabili con le impostazioni attinenti la vostra rete ed assegnate i permessi di esecuzione:


chmod +x nome_script


Eseguite lo script e le vostre richieste verso Internet saranno bilanciate verso i due gateway e quindi, specie nei software p2p avrete degli ottimi benefici.

Se si ha la necessità di raggiungere un determinato host attraverso uno specifico provider potete usare il marking dei pacchetti, quindi vanno aggiunte allo script visto sopra queste due righe:

ip rule add fwmark 1 lookup fastweb
ip rule add fwmark 2 lookup ngi


Nel mio caso, ho assegnato il mark 1 alla tabella di routing chiamata fastweb e 2 a quella chiamata ngi.

Configurato il routing è necessario markare i pacchetti tramite iptables:

# Vincoliamo le richieste verso Google ad essere instradate tramite Fastweb:
iptables -t mangle -I INPUT -i eth0 -d www.google.com -j MARK --set-mark 1
# Mentre le richieste verso IdeaFactory transiteranno per NGI:
iptables -t mangle -I INPUT -i eth0 -d www.ideafactory.it -j MARK --set-mark 2


Come potete vedere, le regole di firewall sono inserite nella tabella mangle di INPUT perché è la prima che viene presa in considerazione all’arrivo di un pacchetto e quindi precedente al routing.

Spero di aver reso la vostra connessione più veloce…spendendo due abbonamenti ad Internet!