VPN com load balance

fernandorosil78
(usa Debian)

Enviado em 26/12/2024 - 11:22h

Olá, pessoal! Estou com a seguinte dúvida: Tenho uma rede com load balance, dois links de internet, um com ip público fixo e outro pppoe. O balanceamento de carga está funcionando numa boa, as bandas são somadas e as conexões saem pelas dois links. Mas tô com dois problemas: Fiz uma vpn L2TP+ipsec. Quando me conecto tenho uma certa dificuldade para acessar os recursos da rede, como servidores, impressoras, arquivos. Na insistência, consigo me conectar. Como eu configurei a vpn pelo link do ip fixo, acredito que os pacotes estão tentando voltar pelo outro link, o que causa a instabilidade. Outra coisa: percebo que quando estou conectado remotamente pela vpn, fico consumindo a banda da empresa, em vez de consumir a banda da minha casa. Não achei nenhum material que me orientasse a fazer com o que as conexões da vpn usasse os dois links. até porque vou fazer vpn site-to-site também para interligar a matriz com a filial. Se alguém puder dá alguma dica, agradeço!

danniel-lara
(usa Fedora)

Enviado em 30/12/2024 - 10:55h

Ah, com Mikrotik, o processo fica mais direto usando o RouterOS. Aqui está o que você pode fazer para resolver os dois problemas:

1. Roteamento Assimétrico na VPN
O Mikrotik precisa garantir que o tráfego relacionado à VPN (entrada e saída) use o mesmo link.

Solução:
Identifique o Tráfego da VPN: Crie uma regra de marcação para o tráfego da VPN, baseada no IP público do cliente VPN.

/ip firewall mangle

add chain=prerouting src-address=<REDE_VPN> action=mark-routing new-routing-mark=vpn_route passthrough=yes

 

Substitua <REDE_VPN> pela sub-rede da sua VPN, por exemplo, 192.168.100.0/24.

Configure uma Tabela de Roteamento para o Link Fixo: Adicione uma rota específica para o tráfego marcado:

/ip route

add dst-address=0.0.0.0/0 gateway=<GATEWAY_LINK_FIXO> routing-mark=vpn_route

 

Substitua <GATEWAY_LINK_FIXO> pelo gateway do link de IP fixo (você pode verificá-lo em /ip route print).

Force o Retorno pelo Link Fixo: Essa configuração garante que todo o tráfego de saída relacionado à VPN volte pelo link fixo.

fernandorosil78
(usa Debian)

Enviado em 01/01/2025 - 23:47h

danniel-lara, depois que concluir a configuração, não acessei mais nada na rede. Depois que desativei a rota, voltei a acessar. Será que tenho que colocar outra distância?

fernandorosil78
(usa Debian)

Enviado em 21/03/2025 - 10:37h

danniel-lara, quando vc diz "Force o Retorno pelo Link Fixo", como faço isso? Ainda não funcionou, acredito que falta essa etapa da configuração.

Grato!

danniel-lara
(usa Fedora)

Enviado em 24/03/2025 - 07:50h

Primeiro, marque as conexões que entram pela VPN para garantir que as respostas saiam pelo mesmo link

/ip firewall mangle

add chain=input in-interface=<INTERFACE_LINK_FIXO> protocol=udp dst-port=500,1701,4500 action=mark-connection new-connection-mark=VPN-Conn

add chain=input in-interface=<INTERFACE_LINK_FIXO> protocol=ipsec-esp action=mark-connection new-connection-mark=VPN-Conn

add chain=forward connection-mark=VPN-Conn action=mark-routing new-routing-mark=VPN-Route 

Substitua <INTERFACE_LINK_FIXO> pelo nome da interface do seu link fixo.

Agora, force o tráfego marcado a sair pelo gateway do link fixo:

/ip route

add dst-address=0.0.0.0/0 gateway=<GATEWAY_LINK_FIXO> routing-mark=VPN-Route

 

Substitua <GATEWAY_LINK_FIXO> pelo IP do gateway do seu link fixo.

Se a VPN estiver no modo split-tunnel, os clientes podem acessar a rede local, mas todo o outro tráfego usa a internet deles. Para garantir isso:

/ip firewall nat

add chain=srcnat src-address=<REDE_VPN> action=masquerade

 

fernandorosil78
(usa Debian)

Enviado em 28/03/2025 - 11:59h

Infelizmente, não funcionou. Só consigo me conectar ao router pelo ip da vpn e não navego na rede. Mas agradeço!

fernandorosil78
(usa Debian)

Enviado em 28/03/2025 - 23:33h

Funcionou! Tive que mudar a rede de destino na rota, retirando a rede 0.0.0.0/0 para colocar a rede da vpn. Tá funcionando bem!
Só tem um porém: toda vez, assim que eu me conecto à vpn, tenho que dá o comando "route -p add 192.168.0.0 mask 255.255.255.0 10.1.1.1" no prompt de comando admin para adicionar a rota no meu pc. Só assim eu consigo navegar na rede remota. Se eu não usar esse comando, só consigo navegar na rede remota se eu for nas propriedades da conexão da vpn/rede/protocolo ip versão 4/avançado e marcar a caixa "utilizar gateway padrão em rede remota". Consigo navegar na rede remota tranquilamente, mas meu pc não sai para a internet.