multi WAN per aumentare la velocità

kiokoman

non ho idea di come funzioni, non mi sono mai informato in merito

fabio.vigano

Ciao @cecio, non è possibile fare quello che hai descritto. Il limite non è in pfsense ma nel protocollo TCP/IP
Alcuni software per PC promettono di fare questo miracolo ma credo utilizzino qualche servizio offerto da server in cloud.
Anche tu potresti realizzarlo con pfsense ma ti occorre un istanza in cloud con a disposizione più banda della somma dei tuoi pfsense.
A livello teorico il funzionamento è questo: installi un pfsense in cloud con n server vpn IPsec in modalità vti, devono essere uno per ogni connettività che hai in casa.
Sul firewall in casa configuri una VPN IPsec vti verso il tuo cloud per ogni connettività. A questo punto hai n connessioni layer2 e le puoi mettere in lagg su entrambi i firewall.
Hai appena ottenuto un aggregazione di link che superano il limite del TCP/IP
Assegni il lagg ad un interfaccia che diventerà la tua Wan virtuale ed il tuo default gateway su cui dirottare tutto il traffico verso internet.
Da questo momento uscirai su internet con l'ip del firewall in cloud.
La descrizione è sommaria e non è completa ma spero di aver reso l'idea di cosa serva fare.

Ci sono aziende che vendono delle "black box" che fa questo lavoro sfruttando ovviamente dei loro server in cloud.

Ciao Fabio

fabio.vigano

Ciao @kiokoman,
quello che hai proposto non funziona perché LACP richiede una connessione punto punto dove i due end-point negoziano la modalità di trasmissione.
Lacp o 802.3ad serve per aggregare più link tra due apparati es firewall e switch, non ci puoi aggregare delle wan.
Ciao Fabio

cecio

https://www.youtube.com/watch?v=sFOS-6GFrs0&pbjreload=10

qui dicono di riuscire nell'intento ma non ho ancora avuto modo di studiare bene

invece qui https://forum.mikrotik.com/viewtopic.php?t=123296 dicono di utilizzare il protocollo NTH o PCC ma, purtroppo non sono esperto

grazie
ciao

cecio

PS @fabio-vigano complimenti per la guida che hai fatto su pfsenseitaly.com! è davvero fantastica!

cecio

qui
https://docs.netgate.com/pfsense/en/latest/book/loadbalancing/index.html

dice:
"Servers in Load Balancing pools are always utilized in a round-robin manner. For more advanced balancing techniques such as source hashing, try a reverse proxy package such as HAProxy instead"

quindi sembra che il load balancing in PFSense sia sempre "round robin" e quindi non aumenta la velocità di connessione ma distribuisce il carico se ci si sonnettte a più siti differenti ma pare che sia possibile istallare "l'estensione" HAProxy

fabio.vigano

Ciao,
Purtroppo stai facendo un po' di confusione, complice il video e la documentazione che hai linkato.
Loadbalancer ed haproxy sono servizi per bilanciare il traffico in ingresso e diretto verso 2 o più server che ospitano un servizio es: cluster di webserver che ospitano una web application.

I protocolli menzionati dal wiki di mikrotik sono protocolli per gestire il routing in modo più evoluto di un semplice roundrobin, ma non ti aiuteranno a "sommare" la velocità delle tue connessioni, ma semplicemente ti permettono di ottimizzare l'uso delle connessioni dandoti la sensazione di andare più veloce.

Anche nel video ad un certo punto ti dice che per esempio se hai una connessione vpn la velocità "misurata" sulla VPN non sarà pari alla somma delle due connessioni, ma sarà pari (molto più probabilmente inferiore) alla singola connessione.
Provo a spiegarti in modo diverso il perché non può essere realistico un raddoppio della banda.
Se tu avessi 2 auto che possono andare a 100 km/h possono trasportare 4 pacchetti per volta. Ogni auto può fare una strada diversa per arrivare a destinazione. Ora tu vuoi spostare pacchetti dal punto A al punto B alla massima velocità.
A questo punto possiamo dire alcune cose:

1. è impossibile sommare la velocità di punta delle due auto per averne una da 200 km/h
2. sicuramente se usiamo entrambe le macchine possiamo spostare i 16 pacchetti in metà del tempo rispetto ad usarne una sola
3. se guardassimo solo i pacchetti spostati, quanto detto nel punto 2 può farci illudere di avere un unica auto da 200 km/h
4. se al punto B il ricevente pretende di ricevere i pacchi solo da una delle due auto, il nostro trasporto fallisce
5. se le due auto possono compiere percorsi diversi non ho alcuna garanzia del fatto che impieghino sempre lo stesso tempo per andare da A a B quindi nonostante la stessa velocità di punta una potrebbe consegnare i pacchi in meno tempo dell'altra
6. se hai un solo pacchetto da spostare non ti serve a nulla avere 2 auto e comunque lo sposterei a 100 km/h
7. se hai un numero di pacchetti inferiore o uguale a 4 non puoi apprezzare un vantaggio dal fatto di avere 2 auto da 100 km/h anzi, in alcuni casi hai solo svantaggi (doppio consumo e tempo potenzialmente superiore)

In conclusione, la velocità di punta di una macchina come di una connessione è solo uno dei parametri che entrano in gioco, gli altri sono il percorso, cosa trasporti, la quantità di quello che trasporti e chi deve ricevere il trasporto.

Nel video si verifica una condizione particolare, speedtest per misurare la velocità di una connessione trasferisce una certa quantità di dati e misura in quanto tempo viene fatto, da questo ti restituisce la velocità di punta, quindi si verifica quanto ipotizzato nel punto 2 e 3, ma come abbiamo visto è una percezione dovuta ad un caso particolare che non tiene conto di quanto visto dal punto 4 in avanti.

Spero di non averti ubriacato
Ciao Fabio

cecio

sei stato molto chiaro ma ho ancora delle domande: se non erro la connessione internet utilizza dei "paccchetti di dati":
io mi collego direttamente a server provider
il server provider (primo nodo) smista la mia richiesta in "pacchetti" che percorrono strade differenti per poi arrivare, tutte guidade dallo stesso indirizzo IP di destinazione, all'ultimo nodo dove i pacchetti sono ricomposti.
Giusto?

Se quello che ho detto è giusto, perchè non posso spacchettare direttamente il la mia richiesta e mandarla al destiantario tramite più connessioni?

Forse se ti spiego cosa devo fare mi puoi aiutare...
quello che devo riuscire a fare è collegarmi velocemente verso il server (virtuale) che si troverà su Aruba o altro fornitore di servizi

Grazie mille, sei gentilissimo

PS come posso fare a offrirti un caffè?

fabio.vigano

@cecio said in multi WAN per aumentare la velocità:

ho ancora delle domande: se non erro la connessione internet utilizza dei "paccchetti di dati":
io mi collego direttamente a server provider
il server provider (primo nodo) smista la mia richiesta in "pacchetti" che percorrono strade differenti per poi arrivare, tutte guidade dallo stesso indirizzo IP di destinazione, all'ultimo nodo dove i pacchetti sono ricomposti.
Giusto?

Purtroppo NI, perchè i pacchetti vengono originati da IP pubblici differenti quindi alla destinazione non vengono riconosciuti come parte di un unica trasmissione.

Se il server è tuo ed hai un pfsense a protezione, puoi fare quello che avevo suggerito all'inizio: più vpn layer 2 affasciate in LACP, in questo caso sfrutti entrambe le connessioni, questo mitiga i problemi che ti ho mostrato nell'esempio e ti da l'impressione di viaggiare quasi sempre alla somma delle velocità.

Ciao Fabio

cecio

@fabio-vigano said in multi WAN per aumentare la velocità:

Purtroppo NI, perchè i pacchetti vengono originati da IP pubblici differenti quindi alla destinazione non vengono riconosciuti come parte di un unica trasmissione.

certo, logico
resta da capire come faccia il ragazzo di questo filmato a usare speedtest
https://www.youtube.com/watch?v=sFOS-6GFrs0&pbjreload=10

Se il server è tuo ed hai un pfsense a protezione, puoi fare quello che avevo suggerito all'inizio: più vpn layer 2 affasciate in LACP, in questo caso sfrutti entrambe le connessioni, questo mitiga i problemi che ti ho mostrato nell'esempio e ti da l'impressione di viaggiare quasi sempre alla somma delle velocità.

Devo studiare e capire esamente quello che mi hai detto ma me lo studio e... mi sembra una ottima idea
So che su Aruba è possibile installare un PFsense virtuale quindi...

non mi hai rispost alla domanda sul caffè :-)

kiokoman

probabilmente dipende dal server di speedtest che ha usato, in realtà è un "finto valore" cioè la somma delle due linee che ha testato ma per farlo ha aperto due o più sessioni tcp, cosa che nella "vita reale" non succede ed è come dice fabio

cecio

@kiokoman quindi dici che è un fake?
mi sembra strano: è un video lungo e spiega molto bene come ha preparato il tutto e dice che la velocità massima non è la somma delle due velocità ma circa il 150% della prima

kiokoman

no non è un fake, presumibilmente è solo uno speed test multistream (con più sessioni tcp aperte), finto nel senso che comunque il test avviene singolarmente per le due linee ma il sito ti fa vedere la somma delle due linee

psp

Infatti lo Speed test, di default, apre più sessioni contemporaneamente. Recentemente è stata aggiunta l'opzione "sessione singola" per i test delle VPN. Ma in questo caso lo "sfondo" del tachimetro NON è blù/verde ma rosso/arancio...

Davide Cruccolini

@fabio-vigano Ciao Fabio , io vorrei realizzare proprio quello che hai descritto sopra , cioe tunnel l2 con i lagg su entrambi firewall.
Sapresti dirmi dove posso trovare una giuida che mi dia le dritta per implementare questa cosa?! oppure se tu stesso sai come fare piu nel dettaglio.
Grazie

fabio.vigano

Ciao,
non ho delle guide, quello che ho descritto è a livello teorico, bisogna verificare se a livello pratico pfSense permette di farlo.
Potrebbero essere necessari 2 pfSense in cascata, perchè i LAGG mi pare siano fattibili solo con interfacce fisiche quindi dovresti usare un pfsense per creare le connessioni VPN ed esporle su porte fisiche che poi collegi al secondo pfsense che le affascia mettendole in LAGG.
Ciao Fabio