Кто-нибудь использует балансировку нагрузки на USG Pro с контроллером L3?

Кто-нибудь использует балансировку нагрузки на USG Pro с контроллером L3?, UniFi Network

andyc

Guest

30.12.2016 18:04:00

Я пытался настроить балансировку нагрузки на двух разных объектах и оба раза провалился — как только я включал второй WAN-порт (либо для балансировки нагрузки, либо только для аварийного переключения), наш облачный контроллер терял связь с USG Pro. Чаще всего при этом я всё ещё могу подключиться к USG (если включен SSH на WAN), и доступ в интернет с LAN тоже работает, но в контроллере USG отображается как «Отключён». Если я в контроллере отключаю WAN2, через некоторое время USG проходит настройку (хотя в контроллере всё ещё показывает «Отключён»), WAN2 отключается, и USG отображается как «Подключён». Помимо включения WAN2, нужно ли что-то ещё сделать?

Я пробовал менять DNS на 8.8.8.8 и 8.8.4.4 на обоих подключениях, так как читал, что оба канала должны использовать общий DNS, но это ничего не изменило.

Контроллер работает на версии 5.3.8.2, а USG — на версиях 4.3.30 и 4.3.16 соответственно, на одном объекте два подключения по PPPoE, на другом — два с динамическими IP. Я также пробовал менять динамические IP на статические, но безрезультатно.

Буду благодарен за любые мысли!
Спасибо,
Эндрю

taytrho

Guest

15.11.2017 07:43:00

Я испытываю то же самое. Функции контроллера Unifi хороши, но в этом деле хотят использовать оба соединения. Возможно, мне просто придется вернуть SonicWall, чтобы управлять балансировкой нагрузки, и это меня реально расстраивает.

domotile

Guest

15.11.2017 05:43:00

@taytrho

Я обновил свой контроллер USG Pro Yo до версии 4.4.12.5032491 и прошивку 5.6.22, но проблемы с балансировкой нагрузки так и остались. До обновления балансировка вообще не работала — весь трафик шел через WAN1. После обновления трафик стал распределяться, но проблема в том, что распределяется он неправильно. Я использовал tcpdump и заметил, что когда я запускаю ssh-сессию с локальной сети на внешний сервер, сессия сначала инициализируется через WAN1, но спустя несколько секунд часть пакетов ssh-сессии начинает уходить через WAN2 с другим IP-адресом. И, кстати, связь обрывается.

Кроме того, я установил OpenVPN на USG Pro, чтобы иметь возможность подключаться к своей локальной сети удалённо. Это была настоящая головная боль в настройке, но раньше всё работало нормально. После обновления, когда я пытаюсь подключиться к WAN1 по его конкретному IP, USG отвечает частично с WAN1, частично с WAN2, из-за чего подключиться невозможно.

Это основа балансировки нагрузки, и проблема до сих пор не решена. Кажется, я сильно ошибся, купив USG Pro.

taytrho

Guest

12.10.2017 21:50:00

Были ли какие-то обновления по этому вопросу? Только что столкнулся с неприятной ситуацией при обновлении бизнеса. Как только мы подключили их wan2 с балансировкой нагрузки, начался полный хаос. Даже после отключения wan2 связь не восстановилась, пока мы не перезагрузили USG-Pro. Сейчас порт работает в режиме резервирования. Пока боязно проверять, как сработает переключение, из-за рабочего времени. Придётся вернуться и протестировать это уже после окончания рабочего дня. Что скажете? USG-PRO 4.4.8.5023700

eldorel

Guest

22.07.2017 12:35:00

$sudo tcpdump -nv -i eth3 not port ssh and host ap-central.redacted.com
tcpdump: слушаю интерфейс eth3, тип канала EN10MB (Ethernet), размер буфера 262144 байта
06:49:05.082189 IP (tos 0x0, ttl 64, id 29336, offset 0, flags [none], proto TCP (6), length 60) WAN1.IP.1.160.33939 > CONTROLLER.8080: Flags [S], cksum 0x2573 (верно), seq 867303091, win 14600, options [mss 1460, sackOK, TS val 48952 ecr 0, nop, wscale 7], length 0

show interfaces
Коды: S - состояние, L - связь, u - работает, D - не работает, A - отключён админом
Интерфейс IP адрес S/L Описание
--------- ---------- --- -----------
eth0 10.100.1.1/24 u/u
eth1 - A/D
eth2 WAN1.IP.1.160/24 u/u
eth3 WAN2.IP.2.150/22 u/u
ifb_eth2 - u/D
ifb_eth3 - u/D
imq0 - u/D
lo 127.0.0.1/8 u/u
::1/128

show load-balance status
Группа wan_failover
interface : eth2
carrier : up
статус : активен
шлюз : WAN1.IP.1.1
таблица маршрутизации : 201
вес : 1
потоки
WAN Out : 0
WAN In : 70
Local Out : 185

interface : eth3
carrier : up
статус : активен
шлюз : WAN2.IP.2.1
таблица маршрутизации : 202
вес : 99
потоки
WAN Out : 11
WAN In : 0
Local Out : 71

eldorel

Guest

22.07.2017 12:12:00

Установил tcpdump на USG и теперь могу со 100% уверенностью указать на настоящую проблему. USG пытается подключиться к контроллеру и использует правильный DNS и прочие настройки. Однако он пытается отправлять пакеты с IP-адреса WAN1 через интерфейс WAN2. Естественно, провайдер сбрасывает такие пакеты, так как они выглядят как исходящие с IP-адресов, которые не принадлежат его сети.

eldorel

Guest

22.07.2017 09:06:00

@UBNT-cmb

@KenPwr

О боже, я буквально провёл 2 часа, пытаясь оформить подробное обновление к этому посту с блоками кода и спойлерами. Наконец-то сделал так, чтобы всё было читаемо, а форумный бот тут же удалил это.

Кратко в трёх строках: после переключения на wan2 USG сначала не видит контроллер, потому что маршрут не обновился. Через пару мгновений USG ставит URL Inform обратно на значение по умолчанию. Для сетей без записей "unifi" в DNS или контроллеров с другими именами это вызывает долгосрочную проблему.

Мой оригинальный ответ в текстовом файле, там же копии команд и ответов, выполненных с USG.

UI-Team Guest	#8 19.04.2017 06:50:00 В версии 4.3.40dev были внесены некоторые изменения из EdgeRouter, которые могли бы иметь значение, но у меня пока не было возможности их проверить.

KenPwr

Guest

19.04.2017 05:11:00

Мне кажется, эта проблема известна, просто сейчас есть дела поважнее. У нас есть Radius в версии 5.5.x, улучшения DPI запланированы на 5.6.x, а функции для 2 WAN появятся, как только остальные пункты в списке будут завершены (см. пост с дорожной картой). И, скорее всего, это не только USG, наверное, контроллер тоже требует некоторых изменений. Впрочем, это не критично. Лишь немного занимает время, чтобы всё наладить, но с этим можно справиться. РЕДАКТИРОВАНИЕ: В любом случае, у меня сейчас всё работает без проблем. 😀

freemanator

Guest

#10

19.04.2017 01:36:00

Хотел вернуться к этой проблеме, так как она всё ещё не решилась. Может, @UBNT-cmb сможет ещё раз взглянуть на это? У меня есть несколько объектов на несколько тысяч долларов, которые я бы очень хотел показать клиентам полностью рабочими. Готов предоставить любую информацию или доступ к оборудованию, если это поможет.

KenPwr

Guest

#11

08.03.2017 17:29:00

Отмечу, как только модем WAN 2 отключается, USG сразу же восстанавливается — и это ещё до того, как USG "отключит" WAN 2 как маршрут (то есть до отправки трёх пингов).
ПРИМЕЧАНИЕ: сейчас оба WAN-соединения светятся зелёным. Я в итоге перезагрузил WAN 1, полностью отключил WAN 2 примерно на 5 минут, а потом снова включил модем WAN 2.
Так что, скорее всего, всё будет нормально до следующего странного ночного сбоя провайдера.

KenPwr

Guest

#12

08.03.2017 17:14:00

Поднимаю этот вопрос снова для повторного рассмотрения.

@UBNT-cmb

Прошлой ночью у местного провайдера на мгновение прервалась связь примерно в 12:43 ночи. Это затронуло оба модема. Со стороны роутера оба устройства вернулись в строй почти без проблем, скриншоты прилагаю. Первый модем показывает только первый обрыв связи. Второе устройство несколько раз перезагружалось, так как я замечал, что это иногда помогает USG снова появиться в контроллере после подобных событий. Но сегодня везение меня пока покидает. Краткие заметки. USG-45.4.11 (L3) 4.3.34 на USG. Да, правила WAN_OUT применены, как я упоминал раньше, это здорово помогает хотя бы вернуть нормальную работу.

Но на стороне контроллера в то же время, когда были сделаны скриншоты выше, ситуация такая же.

Я только что попробовал снова перезагрузить модем WAN 2. Каждый раз, когда вы отключаете WAN2, всё снова синхронизируется.

Но как только WAN 2 восстанавливается, тут же теряется связь с контроллером USG. Игнорируйте отключенную точку доступа — это я просто обновляю последний AC-HD до версии .45.

Вот где сейчас ситуация. Сегодня утром попробую перезагрузить оба модема, чтобы вернуть всё в зелёный статус и, возможно, восстановить связь с контроллером. Но, если я правильно помню, перезагрузка контроллера особо не помогала.

Короче говоря, на стороне сайта всё работает нормально — трафик сбалансирован и без проблем. Но контроллер явно не очень любит, когда что-то ломается. Предполагаю, что дело не в прошивке USG-4, а скорее в логике работы контроллера и в том, как он отображает статус USG — "включён" или "выключен". Или, может, контроллер считает USG как подключение WAN 1, и когда связь с ним теряется, или когда USG начинает отправлять управляющий трафик через WAN 2, контроллер путается. Это лишь теория, конечно.

В любом случае, я попробую снова вернуть все индикаторы в зелёный.

KenPwr

Guest

#13

23.01.2017 18:12:00

И через примерно 12 часов снова отключился. На этот раз никаких странностей с WAN, вроде как провайдер не отваливался. Watchdog чист (работал в 12:09), USG просто отключился от контроллера (в 10:59:00).
Группа wan_failover
eth2
статус: Работает
пинги: 409
потери: 0
неудачные запуски: 0/3
пропуски маршрута: 0
пинг до шлюза: ping.ubnt.com – ДОСТУПЕН

eth3
статус: Работает
пинги: 408
потери: 0
неудачные запуски: 0/3
пропуски маршрута: 0
пинг до шлюза: ping.ubnt.com – ДОСТУПЕН

Информация снова такая:
Модель: UniFi-Gateway-4
Версия: 4.3.34.4943827
MAC адрес: MAC здесь
IP адрес: WAN 1 IP здесь
Имя хоста: FM-USG4-1U
Время работы: 1540757 секунд
Статус: Не удаётся разрешить (http://unifi:8080/inform)

Все ещё на версии 5.3.11, собирался сегодня обновить до 5.4.9, но подожду, пока USG не вернётся в строй. Скорее всего сегодня вечером отключу WAN2, чтобы «починить» проблему.

P.S. Похоже, «show log» показывает события примерно за последний час, так что пропустил момент, если что-то там и записалось из этого.

KenPwr Guest	#14 23.01.2017 00:21:00 Система снова работает, ошибка устранена. Модем провайдера снова дал сбой, из-за чего был перезапущен модем WAN 1, затем контроллер и USG успешно синхронизировались.

KenPwr

Guest

#15

22.01.2017 02:13:00

Не уверен, добавляет ли это что-то к общему делу, но теперь в «info» показывается:
infoModel: UniFi-Gateway-4
Version: 4.3.34.4943827
MAC Address: 80:2a:a8:4f:94:b7
IP Address: MYIPADDRESSHERE
Hostname: FM-USG4-1Uptime: 1396547 секунд
Status: Не удаётся разрешить (http://unifi:8080/inform)

Есть команда для теста разрешения DNS на Edgerouter/USG для каждого WAN-соединения?

KenPwr

Guest

#16

22.01.2017 01:27:00

Добавьте ещё пару дней, и теперь система находится в отключённом состоянии. Однако на месте роутер вроде работает нормально, просто контроллер, похоже, не понимает, что ссылка WAN1 снова активна. Короче говоря, модем моего провайдера опять начал "флапать" — как обычно, высокая задержка и низкая скорость, и USG постоянно переключался и включал-выключал маршрут WAN 1, как и должен делать, когда начинают падать пинги (три?).

Потерял связь с маршрутом примерно 4 раза к тому моменту, когда я посмотрел, думаю, всё началось около 6:20 по центральному времени. Я зафиксировал это примерно в 6:40. (Задержка на дашборде прыгает с 40 до 500 при этом на WAN 1, про WAN 2 не уверен, так как сам сомневаюсь, отображается ли он вообще на дашборде). Я перезагрузил модем — теперь всё опять в порядке, по крайней мере с точки зрения роутера через SSH.

Вот что видно:

Load Balance Status...
Group wan_failover
interface : eth2
carrier : up
status : active
route table : 1
weight : 50
flows
WAN Out : 524000
WAN In : 288000
Local Out : 1038643

interface : eth3
carrier : up
status : active
route table : 2
weight : 50
flows
WAN Out : 524000
WAN In : 0
Local Out : 21788

Load Balance watchdog
group wan_failover
eth2
status: Running
pings: 161
fails: 0
run fails: 0/3
route drops: 3
ping gateway: ping.ubnt.com — ДОСТУПНО
last route drop : Sat Jan 21 18:49:11 2017
last route recover: Sat Jan 21 18:50:32 2017

eth3
status: Running
pings: 17970
fails: 3
run fails: 0/3
route drops: 0
ping gateway: ping.ubnt.com — ДОСТУПНО

Так что в локал сети и для беспроводных клиентов всё как по маслу. Но на стороне контроллера ситуация не такая радужная.

Информация роутера:
Модель: UniFi-Gateway-4
Версия: 4.3.34.4943827
MAC адрес: 80:2a:a8:4f:94:b7
IP адрес: MYIPADDRESSHERE
Имя хоста: FM-USG4-1U
Время работы: 1393631 секунда
Статус: Недоступен (http://MYDNSHERE:8080/inform)

И выглядит так, будто контроллер не видит, что WAN 1 снова поднят. Хотя, поверьте, он точно работает. (SSH доступен, пробросы портов работают).

@UBNT-cmb

Пока ничего не перезагружал, собирался подождать и посмотреть, нет ли ещё каких-то вариантов или действий, чтобы разобраться с этой проблемой. Если потеряю терпение, попробую перезапустить WAN 2 — думаю, тогда переключится обратно на WAN 1, и всё восстановится.

Случайная теория на засыпку. Моя любимая маньячка Sticky? Может быть, трафик роутер–контроллер "залип" на интерфейсе WAN 2 из-за сбоя на WAN 1, а контроллер, так как он дружит с WAN 1 (IP/MAC) для настройки и подключения, не понял, что вообще происходит, когда WAN 1 снова вернулся? Ведь контроллер ждёт отчёт с IP WAN 1, а не с WAN 2. При вводе команды "info" он, естественно, отдает IP: MYIPADDRESSHERE — который относится к WAN 1. Ни слова о WAN 2. Никогда.

P.S. Весёлое форматирование.
P.P.S. Чем больше думаю, тем больше убеждаюсь, что уровень управления находится на стороне WAN в методе балансировки, так как в баланс включены только локальные сети. Значит, трафик с USG до контроллера идёт только через WAN 1?

KenPwr

Guest

#17

17.01.2017 23:55:00

@UBNT-cmb

@andyc

Пользуюсь обоими WAN уже около недели (LB), после добавления WAN_OUT проблем с контроллером не было. За это время контроллер перезагружался минимум два раза, и пришлось перезапускать модем WAN 1 из-за сбоев. В остальном серьёзных проблем нет. Но хочется начать высказывать идеи по поводу более удобной панели для двух WAN. Не уверен, стоит ли привязывать это к текущему запросу на функционал или делать собственный проект.

EDIT: Просто добавлю сюда. «Пропускная способность» на текущей панели — это суммарно по обоим WAN или только по WAN 1/eth2?

xseth Guest	#18 15.01.2017 19:46:00 Multi WAN1 WAN2 (60/50) Работать с этим config.properties???

Читают тему (гостей: 1)