Discuta este tópico no fórum

Se este conteúdo te ajudou, deixe um presente!

sexta-feira, 5 de dezembro de 2014

OpenWRT: Balanceamento e redundância da sua conexão internet com mwan3

No passado, já escrevi sobre como fazer o balanceamento no OpenWRT utilizando o pacote multiwan. Porém, na nova versão BB foi disponibilizado uma nova solução, o mwan3, que permite um melhor gerenciamento de suas conexões, além de resolver alguns problemas da solução anterior como a impossibilidade de encaminhamento de portas.

Múltiplas conexões com a internet servem para duas funções. A primeira é manter o acesso com a internet mesmo que um dos provedores tenha algum problema (claro, opte por provedores independentes). Fora a redundância da sua conexão internet, você pode balancear o uso da internet entre as duas conexões, praticamente somando a velocidade disponibilizada.

Hoje, contratar uma nova conexão é barato, ficar sem internet é caro. A disponibilidade de mais de uma conexão com internet é fundamental para um negócio que dependa da internet. Além disto, mesmo em residências, estamos cada vez mais dispondo de múltiplas conexões com a internet. Provavelmente você tem um celular com 3G que pode compartilhar a internet, talvez um modem 3G ou mesmo utilizar a internet do vizinho (sempre pedindo autorização).

Existem soluções prontas no mercado para realizar esta tarefa. Contudo, neste post vamos utilizar um roteador com OpenWRT para realizar esta tarefa (e creio que com mais versatilidade do que qualquer outra solução).

O primeiro passo é instalar as suas múltiplas conexões internet no seu roteador. Você pode utilizar VLAN e transformar uma porta LAN em uma WAN2, conectar um 3G, ou acessar uma outra rede WIFI, seja ela do seu vizinho ou a internet compartilhada do seu celular. Claro, teste se ela está funcionando utilizando cada conexão com a internet isoladamente.

E se eu conectar as duas ao mesmo tempo? O roteador vai se perder? Não, existe um campo na configuração da interface, em avançado, onde você especifica a métrica da sua conexão. A métrica é o custo de usar a conexão. Desta forma, a conexão que estiver com a menor métrica será usada. Por padrão, este valor não está definido. Se for o mesmo valor ou não definido, ainda assim o roteador ainda vai escolher uma delas. Contudo, a definição da métrica é necessária para fazer o mwan3 funcionar.

Então só definir a métrica e terei redundância (mas não balanceamento)? Não é tão fácil assim. A conexão com a menor métrica será usada enquanto a interface relacionada a esta estiver levantada. Porém, a sua conexão internet pode cair sem que a sua interface seja derrubada. Ela só cairá sozinha se o cabo da WAN for desconectado ou o equipamento em que a conexão WAN estiver for desligado. Normalmente não é o que acontece. O mais comum é que seu equipamento está ligado e você não tem conectividade. Para gerenciar isto entra o mwan3.

O mwan3 monitora as suas conexões com a internet através de PING para verificar se esta está operando. Caso falhe, ela será desativada e os novos pedidos de conexões não irão mais utilizá-la. Enquanto estiver desativada, o mwan3 verifica repetidamente se ela voltou a operar. Caso detecte que está tudo bem, a sua conexão volta a operar junto com as demais.

Para balancear a carga, cada novo pedido de conexão pode ser atendido por uma das conexões WAN disponíveis. A escolha é aleatória (não é um Round-Robin), podendo utilizar um peso para aumentar a probabilidade de utilizar uma das conexões. Quanto mais clientes (pedidos de conexão) forem gerenciadas, maior a probabilidade do número de pedidos de conexão de cada WAN se aproximar do configurado e maior a probabilidade dos canais estarem distribuídos.

Instalação do mwan3


O pacote do mwan3 pode ser instalado tanto pelo modo texto como pela interface Luci. Você também pode instalar o módulo do Luci para configurar o mwan3 sem precisar do modo texto. Instale:

* mwan3
* luci-app-mwan3 (somente se for usar via interface Luci)

Configuração do mwan3


O mwan3 permite configurações muito mais avançadas do que o multiwan. Para permitir esta gama maior de cenários, o mwan3 utiliza algumas abstrações:

Interfaces


São mapeamentos 1 para 1 das interfaces WAN do OpenWRT (que já são abstrações das interfaces físicas). A interface do mwan3 serve apenas para adicionar mais campos à interface do OpenWRT, como as informações referentes a checagem da sua conexão internet.

Para adicionar uma nova interface, você pode ir no Luci em "Network/Load balancing/Configuration/Interfaces" e adicionar no campo ao final da página. O nome deve ser o mesmo utilizado na interface do OpenWRT (lembre-se, é um mapeamento). Além disto, a interface já deve ter alguma métrica definida (ainda em "Network/Interfaces" e não no mwan3) e possuir rota padrão (definida na configuração estaticamente ou via DHCP).

Ao adicionar a interface wman3, você deve escolher qual endereço na internet será utilizado para verificar que a sua conexão está funcionando. O normal é usar os DNS do Google (8.8.8.8, 8.8.4.4) mas recomendo adicionar no mínimo mais uns dois extra pois o Google aprontou ano passado. O resto é configuração de ajuste, como o "Tracking reliability", que define quantos dos endereço listados devem responder ao PING para considerar que a conexão está funcionando.

Adicione uma interface para cada interface WAN que você deseja balancear. Ex: tenho duas interfaces WAN: wan e wan3g. Elas devem estar funcionado e com uma métrica definida antes mesmo de iniciar a configuração do mwan3. Eu devo criar duas interfaces com exatamente o mesmo nome no mwan3: wan e wan3g. Em cada uma destas, devo configurar um ou mais endereços para verificar a conectividade.

Se preferir editar o arquivo de configuração diretamente, pode fazê-lo pelo modo texto (SSH, em /etc/config/mwan3) ou mesmo pelo Luci em "Network/Load balancing/Advanced/MWAN Config":

config interface 'wan'
   option enabled '1'
   list track_ip '8.8.4.4'
   list track_ip '8.8.8.8'
   option reliability '1'
   option count '1'
   option timeout '2'
   option interval '5'
   option down '3'
   option up '8'

config interface 'wan3g'
   option enabled '1'
   list track_ip '8.8.4.4'
   list track_ip '8.8.8.8'
   option reliability '1'
   option count '1'
   option timeout '2'
   option interval '5'
   option down '3'

   option up '8'

Members (Membros)


Membros são um segundo mapeamento das interfaces do mwan3 para adicionar duas novas informações: métrica e peso. Diferente do caso do item anterior onde uma interface OpenWRT mapeava uma interface MWAN3, este é um mapeamento de 1 (interface MWAN3) para 1 ou mais (membro) pois assim podemos ter valores distintos para uma mesma interface em situações distintas.

Para adicionar uma nova interface, você pode ir no Luci em "Network/Load balancing/Configuration/Members". Os nomes são livres mas devem ser diferentes das interfaces. A sugestão é utilizar o formato: <interface>_m<métrica> _w<peso>. Ex:

  • wan_m1_w3
  • wan_m2_w3
  • wan_m1_w4
  • wan_m2_w4
  • wan3g_m1_w3
  • wan3g_m2_w3
  • wan3g_m1_w4
  • wan3g_m2_w4

Desta forma, já pelo nome, é possível identificar o que foi configurado no membro (interface, métrica e peso). Ao criar o membro, selecione a interface mwan3 desejada, a métrica e o peso.

A métrica no membro representa uma informação similar ao que representa a métrica da interface do OpenWRT. Caso esteja disponível mais de um membro para a mesma situação, ele selecionará a interface do membro que tem a menor métrica. Porém, existe uma diferença em relação a métrica da interface. No membro, caso a métrica seja a mesma, o mwan3 vai fazer o balanceamento e não escolher apenas uma das interfaces.

E o peso? Na situação onde o mwan3 está fazendo o balanceamento (existe mais de um membro operacional com a mesma métrica e esta é a menor do conjunto), ele dividirá as conexões em função do peso. Se um membro usar o peso 3 e outro o peso 2 enquanto estiverem balanceando as conexões, 3/5 serão antedidas pelo primeiro membro e 2/5 pelo segundo (5 da soma de 3 e 2). Se for igual, será dividido de forma igual. Com isto você pode ajustar o uso das conexões em função da capacidade de cada conexão. Ex:
  • wan_m1_w3
  • wan3g_m1_w3
Balanceará entre as duas conexões wan e wan3g de maneira uniforme.
  • wan_m1_w3
  • wan3g_m1_w1
Balanceará entre as duas conexões wan e wan3g, sendo que 3/4 das conexões utilizarão wan e 1/4 a wan3g.
  • wan_m1_w3
  • wan3g_m2_w2
Utilizará a wan enquanto estiver no ar. Quando esta estiver indisponível, a wan3g será utilizada. O peso não influencia.

Se preferir editar diretamente o arquivo, é no mesmo local da interface:

config member 'wan_m1_w3'
   option interface 'wan'
   option metric '1'
   option weight '3'

config member 'wan_m2_w3'
   option interface 'wan'
   option metric '2'
   option weight '3' 

config member 'wan3g_m1_w3'
   option interface 'wan3g'
   option metric '1'
   option weight '3'

config member 'wan3g_m2_w3'
   option interface 'wan3g'
   option metric '2'
   option weight '3'

Policies (Políticas)


As políticas são agrupamentos de membros. Seria o mais próximo de uma tabela de roteamento. Dentro das políticas, as métricas e pesos dos membros serão utilizados para definir por qual interface a conexão irá utilizar. Normalmente é criada uma política para cada uma das situações:

  • Usar exclusivamente cada interface;
  • Usar uma interface preferencialmente e outra caso a primeira falhe;
  • Balancear a carga entre as interfaces.

Novamente, os nomes não devem colidir com os nomes das interfaces e dos membros. Ex:

  • somente_wan           (política)
    • wan_m1_w3    (membro)
  • somente_wan3g
    • wan3g_m1_w3
  • wan_wan3g
    • wan_m1_w3
    • wan3g_m2_w3
  • wan3g_wan
    • wan_m2_w3
    • wan3g_m1_w3
  • balanceado
    • wan_m1_w3
    • wan3g_m1_w3

A ordem dos membros não importa. O que importa é a métrica definida no membro e, onde esta for igual, o seu peso relativo.

Para adicionar uma política pela interface Luci, vá em "Network/Load balancing/Configuration/Policies". Após adicionar uma nova política, você deve adicionar os membros desejados. Também é dado a opção de selecionar qual o comportamento em último caso (quando todas as interfaces dos membros desta política estiverem inoperantes). Pode-se optar rejeitar a conexão (reject - o usuário tem resposta imediata), descartar (drop - a conexão do usuário falhará por estouro de tempo) ou usar a rota padrão do sistema. Se não for especificado, o comportamento será o reject.

Para configurar as políticas diretamente no arquivo, é o mesmo das demais configurações:

config policy 'balanceado'
   list use_member 'wan_m1_w3'
   list use_member 'wan3g_m1_w3'
   option last_resort 'unreachable'

config policy 'wan3g_wan'
   list use_member 'wan_m2_w3'
   list use_member 'wan3g_m1_w3'
   option last_resort 'unreachable'

config policy 'wan_wan3g'
   list use_member 'wan_m1_w3'
   list use_member 'wan3g_m2_w3'
   option last_resort 'unreachable'

config policy 'somente_wan'
   list use_member 'wan_m1_w3'
   option last_resort 'unreachable'

config policy 'somente_wan3g'
   list use_member 'wan3g_m1_w3'
   option last_resort 'unreachable'

Rules (Regras)


Enfim, o último passo. As políticas definidas anteriormente devem ser chamadas segundo alguma regra, que pode ser baseada nos endereços e portas de origem e destino ou mesmo no protocolo (que você normalmente vai se limitar em TCP ou UDP).

As regras podem ser definidas pela interface Luci, vá em "Network/Load balancing/Configuration/Rules". Você deve definir um nome único (não utilizado por outros objetos), os critérios para selecionar o tráfego e qual política será aplicada a este tráfego. O mais comum é utilizar o balanceamento para tudo exceto o que deve manter o IP durante a sessão. Um exemplo onde deve-se preservar o IP externo são páginas de bancos. Como boa prática, deve-se preservar o endereço externo para todo tráfego HTTPS. Para estes casos, pode-se utilizar o endereço do cliente para balancear as conexões. Uma boa dica para balancear entre duas conexões é usar o último bit do endereço IP, que dividirá os clientes entre os com endereço IP terminando em par ou ímpar.

Diferentemente dos demais itens de configuração, as regras possuem ordem. Caso o tráfego case com uma delas, ele não será validado pela próxima. Assim, deve-se colocar as regras mais específicas antes da mais genéricas e uma global, que case com todo o tráfego, ao final. Ex:

  • cliente_par_https
    • origem 0.0.0.0/0.0.0.1
    • protocolo tcp
    • porta 443,8443
    • política wan_wan3g
  • cliente_impar_https
    • origem 0.0.0.1/0.0.0.1
    • protocolo tcp
    • porta 443,8443
    • política wan3g_wan
  • padrao
    • origem 0.0.0.0/0.0.0.0
    • política balanceado

Para configurar as políticas diretamente no arquivo, é o mesmo das demais configurações:

config rule 'cliente_par_https'
  option src_ip '0.0.0.0/0.0.0.1'
  option proto 'tcp'
  option use_policy 'wan_wan3g'
  option dest_port '443,8443'

config rule 'cliente_impar_https'
  option src_ip '0.0.0.1/0.0.0.1'
  option proto 'tcp'
  option use_policy 'wan_wan3g'
  option dest_port '443,8443'

config rule 'padrao'
  option dest_ip '0.0.0.0/0'
  option use_policy 'balanceado'

Caso tenha necessidade que algum cliente ou destino específico saia somente por um endereço (ex: uma aplicação remota liberara apenas para o seu endereço da internet), basta adicionar uma regra acima das demais. Também fixar a saída em apenas uma conexão pode ser uma estratégia interessante para isolar possíveis problemas de uma aplicação quando se suspeita que a causa seja o balanceamento.





A solução mwan3 possibilita ajustar o balanceamento a quase qualquer situação, inclusive melhor do que outros produtos de mercado. Além disto, ao utilizar um equipamento de uso geral, o custo também deve ser inferior as soluções dedicadas. De fato, mesmo as soluções dedicadas não utilizam um hardware muito diferente de um roteador geral. Em muitos casos, é apenas um software diferente.

Já estou usando o mwan3 sem problemas faz algum tempo. Mas podem aparecer algumas questões como "Meu download não duplicou, ficou no mesmo". Sim, qualquer solução baseada em NAT faz o balanceamento por conexão. Um download único não vai conseguir utilizar mais do que uma das WAN. Para utilizar as duas, você precisaria fazer dois downloads em paralelo (ou usar um gerenciador de download que baixe o arquivo por múltiplas conexões - alguém lembrou do GetRight?). Mesmo assim, a escolha da WAN é aleatória e pode ser que você tenha o "azar" de sair nas duas conexões pelo mesmo canal. Se estiver baixando de um HTTPS (cada vez mais comum) e você seguiu as configurações sugeridas aqui, você sempre vai sair pela mesma conexão a partir do mesmo computador e, sim, não vai utilizar mais do que uma WAN em um download, neste caso mesmo que use um gerenciador de download. E torrent? Vai funcionar perfeitamente! Seu download provavelmente se aproximará da soma das duas WAN pois o torrent utiliza diversas conexões em paralelo.

Alguma solução para não usar NAT? IPv6. Mas as Telecoms no Brasil estão meio atrasadas. Era para todos terem IPv6 em janeiro de 2014. Quem sabe em um futuro, quando todos estiverem com IPv6 e terem uma faixa de endereços própria (que nem é previsto), podemos buscar uma solução melhor.

Para finalizar, se você é daqueles que desmontava o relógio para saber como ele funcionava, o mwan3 é bem interessante. Olhe em:

  • iptables -t mangle -L
  • ip rule show
  • ip route show table 1
  • ip route show table 2
  • ip route show table 3
  • ...
  • ip route show table N (até que retorne uma tabela em branco)

O mwan3 usa as interfaces ativas e as métricas para construir as regras do iptables e as tabelas no ip route. A tabela mangle do iptables é utilizada para marcar os pacotes (onde são usados as regras e pesos). Cada marca representa uma interface de saída. Esta marcação é usada nas regras do "ip rule", que escolhe uma tabela de roteamento para cada marca. Tudo é ajustado caso alguma interface com menor métrica se torne operante ou deixe de funcionar.

Até a próxima.

sexta-feira, 21 de novembro de 2014

OpenWRT: Atualizando para versão 14.07

Com o lançamento da nova versão do OpenWRT 14.07 (comentários), é chegada a hora de mais um upgrade. Prepare suas duas horas de janela de mudança, avise seus clientes da indisponibilidade do serviço internet e mão na massa.

Sim, este artigo repete diversos pontos do artigo de atualização anterior.

96,72% dos problemas com instalação/atualização com OpenWRT que ajudo é em relação a escolha incorreta da imagem da firmware. Como sempre, recomendo a versão squashfs, que possui modo de recuperação. Pegue o arquivo no download do Barrier Breaker e nunca em um endereço qualquer, mesmo que seja na wiki do OpenWRT. Normalmente a wiki referencia a versão em desenvolvimento, que não é o que você quer. No diretório de download, navegue seguindo o caminho da "arquitetura alvo" em uso no seu roteador. Você pode vê-la olhando o arquivo /etc/openwrt_release:
root@router:~# cat /etc/openwrt_release
DISTRIB_ID="OpenWrt"
DISTRIB_RELEASE="12.09"
DISTRIB_REVISION="r36088"
DISTRIB_CODENAME="attitude_adjustment"
DISTRIB_TARGET="ar71xx/generic"
DISTRIB_DESCRIPTION="OpenWrt Attitude Adjustment 12.09"
A diferença entre a primeira instalação e a atualização é que não será usada a imagem "factory" e sim a "sysupgrade". Escolha o arquivo correspondente ao seu roteador (inclusive versão de hardware!). E muito importante, leia a wiki do seu roteador independente se ele já funcionava na versão anterior! São poucos minutos de leitura que podem salvar horas de trabalho ou mesmo seu roteador.

Bem, se eu simplesmente ir na interface, fornecer a nova imagem, ele vai funcionar? Provavelmente, mas talvez não é a maneira que dê menos trabalho. A atualização pode preservar as configurações mas não os programas instalados. Se você tem disco raiz em unidade externa, a encrenca é ainda maior. Quem usa WDS para conectar dois segmentos de rede via wireless também pode ter que fazer um pequeno ajuste nos clientes, já que o BB não muda o SSID com múltiplos SID.

Mas eu nunca instalei um programa! OK, use a interface web e provavelmente todas as configurações serão migradas sem problemas. Mas faça o backup antes! Caso contrário, continue lendo.

Em primeiro lugar, precisamos do plano de retorno caso a nova versão não se comporte como o esperado. Faça um backup geral do seu sistema. Sugiro três coisas diferentes: backup gerado pelo openwrt, lista de pacotes instalados e todos os arquivos do overlay.

A primeira e mais simples é o backup que pode ser gerado pela interface WEB do OpenWRT. Este é obtido na mesma página de atualização de firmware do seu roteador. Ele contém uma seleção prévia de várias configurações, inclusive tudo que está em /etc/config. Contudo, o backup não irá manter outros arquivos modificados em /etc ou em outro lugar. Por exemplo, se você fez alguma modificação no /etc/dnsmasq.conf, ele não será preservado pois este arquivo não está selecionado para ser copiado. Se criou um script em /bin ou para os botões em /etc/hotplug.d/button, ele não será preservado. Para incluir estes e outros casos, informe o caminho destes arquivos extras em /etc/sysupgrade.conf. Na interface WEB também tem a edição deste arquivo, no mesmo local da atualização da firmware, na parte de configuração. Gere um arquivo de backup novo e verifique se tudo que você quer está lá dentro. Somente estes arquivos serão preservados em um upgrade.
Dica: olhe todo o conteúdo em /overlay. Ele terá tudo o que foi modificado. Cuide principalmente dos arquivos em /etc.
Porém, o backup do openwrt não é feito para guardar os programas instalados. Ele se limita a scripts, dados e arquivos de configuração pré-configurados e os listados em /etc/sysupgrade.conf. Programas instalados por pacotes devem ser reinstalados manualmente. Por isto a próxima sugestão.

A segunda sugestão é gerar uma listagem de todos os pacotes instalados. Ela será usada de referência para reinstalar todos os seus programas. Como os programas não serão preservados (somente suas configurações e se estiverem no backup) você terá que reinstalá-los. Em geral, é uma meia dúzia de programas. A lista dos pacotes instalados pode ser obtido pela interface web ou pelo comando "opkg list-installed". Contudo, eu prefiro observar o diretório /overlay/usr/lib/opkg/info. Como cada pacote instalado cria um arquivo de controle neste diretório e o /overlay terá somente os arquivos modificados, você terá ao menos um arquivo por novo pacote instalado. O comando abaixo lista todos estes pacotes instalados após a gravação da firmware:
find /overlay/usr/lib/opkg/info/ -name '*.control' -exec basename {} \; | sed -e 's/\.control$//' | sort
Em geral, se não souber para que serve, ignore as bibliotecas (lib*). Elas serão instaladas automaticamente quando os pacotes que dependem delas forem instalados.

A terceira sugestão é fazer um backup completo de todo o /overlay. Afinal de contas, falamos de poucos megabytes mas que são fruto de algumas horas de trabalho. A cópia pode ser feita com um tar. É provável que você não tenha espaço para criar este tar diretamente no roteador. Você terá que fazê-lo jogando em um disco externo conectado pela USB ou, a forma que eu geralmente uso, diretamente pela rede. Pela rede seria assim:
meucomputador$ ssh root@roteador tar -czv /overlay | cat > overlay.tar.gz
A vantagem deste backup é que, se esquecer de colocar algo em /etc/sysupgrade.conf, você poderá recuperá-lo do arquivo tar.gz. Também, se precisar retornar ao firmware antigo, você já teria uma partição overlay pronta. Bastaria instalar a firmware antiga e jogar o conteúdo da overlay por cima (preferencialmente em modo de recuperação!).

Agora, finalmente, você está pronto para enviar a nova firmware. Se você usa um espaço externo para expandir o disco, leia até o final deste post. Faça o upgrade pela interface web ou pelo terminal. Inclusive, você pode baixar o arquivo diretamente no roteador. Ex:
cd /tmp
wget http://downloads.openwrt.org/barrier_breaker/14.07/..../openwrt...xxx...img
sysupgrade openwrt...xxx....img
 
Agora é a hora que você reza.

Se optar por preservar as configurações, tudo que seria guardado em um backup do sistema, inclusive o que está listado em /etc/sysupgrade.conf, será automaticamente levado ao novo sistema. Depois de o sistema iniciar na próxima versão e estiver funcionando, é hora de retornar os programas antigos. Se você guardou a lista dos programas instalados após a gravação da firmware que sugeri anteriormente, já terá a lista do que instalar.

A mudança nas versões dos pacotes é esperada e pode ser desconsiderada. Para facilitar, tente instalar primeiro os pacotes que dependem de outros, como os pacotes luci-app-*, antes de instalar os demais. É provável que, pela cadeia de dependências, grande parte será automaticamente instalada. Repita a geração dos programas instalados, a comparação e a instalação até estar satisfeito.

Não é comum no OpenWRT mas pode existir alguma atualização de segurança importante, como ocorreu com o Heartbleed. Na versão 14.07 apareceu uma vulnerabilidade do hostapd, que faz autenticação dos usuários. Se sua rede possui clientes não confiáveis (principalmente se você é um alvo em potencial), é bom atualizar. Os arquivos com a vulnerabilidade estão na imagem original e não foram atualizados. Para corrigir, você precisa instalar após a gravação da firmware. Esta atualização ocupará espaço a mais do seu disco (overlay) pois apagar ou substituir arquivos existentes na firmware original não recupera o espaço em disco usado.


Se quiser atualizar e estiver com espaço livre na overlay, a atualização é simples:
opkg update
opkg list-upgradable
E faça um "opkg install xxx" para os pacotes "xxx" listados. Ex:
opkg install wpad-mini hostapd-common
No futuro, novos pacotes com problemas de segurança podem ser atualizados e aparecerão no list-upgradable.

Por fim, faça um novo backup geral. É sempre bom preservar o seu trabalho.

Hum, e eu que uso um disco externo para expandir o espaço internoÉ um pouco mais complicado... Ao atualizar o sistema, você terá um kernel novo que é incompatível com os módulos de kernel existentes no disco externo ou mesmo com as bibliotecas deste pertencentes à versão anterior. Você precisaria reinstalá-los. Esta é a sugestão de como proceder:

Em primeiro lugar, gere todos os backups sugeridos anteriormente. É importante preservar seu trabalho anterior. Ainda sem instalar a nova firmware, reinicie o sistema sem o disco externo. Se você seguiu minha sugestão, você ainda terá um ambiente básico funcional. Com isto, ele vai usar somente a flash interna (com a configuração que você tinha antes de usar o disco externo). Faça todos os backups novamente, preservando os anteriores.

Agora à instalação.

Ainda com o disco externo desconectado, instale a nova firmware. Faça uma configuração básica, que será o que você terá caso o roteador seja ligado sem a unidade externa. Caso tenha optado por não preservar as configurações na gravação, você pode aproveitar o backup gerado ainda na versão anterior mas com o disco desconectado.

Agora precisamos nos livrar de todos os arquivos da versão anterior do OpenWRT presentes no disco externo. No disco externo, na partição usada como overlay, remova todo o conteúdo ou mova tudo para um subdiretório (ou para outro disco se não estiver com espaço livre) afim de que este não seja usado. Como sugestão, crie um "openwrt-versao-xxx" e mova tudo para lá. Refaça a configuração de uso do disco externo (que no mínimo será reinstalar os pacotes necessários). Reinicie o sistema. Você deve estar com mais espaço em disco agora.

Neste ponto, você ainda terá as mesmas configurações que tinha quando usou o sistema sem o disco externo. Envie o primeiro backup da versão anterior feito ainda com o disco externo e siga os passos de reinstalação dos pacotes, assim como é feito para ambientes sem o disco expandido. Complete o trabalho com aquele backup final.

Espero que apreciem a nova versão. De agora em diante, vou apenas focar em configurações específicas do 14.07, que ainda podem funcionar nas versões 12.09 e 10.03.1.

Até mais.

segunda-feira, 3 de novembro de 2014

OpenWRT: Barrier Breaker (14.07)

Salve pessoal! Mais um artigo da série do OpenWRT.

Quem está acompanhando as notícias do mundo de TI deve ter notado que foi lançada uma nova versão do OpenWRT, a Barrier Breaker (a.k.a BB, 14.07). Como fazem dois anos desde a última versão estável, é uma significativa mudança. Então quer dizer que eu vou atualizar e minha vida vai mudar?! Não é bem assim. Dependendo do caso, você nem vai notar. Afinal, o que a BB trouxe de novo? Vamos aos destaques:
  • Kernel atualizado para 3.10
Isto traz diversas correções, atualizações de drivers e outras funcionalidades desde o kernel 3.3. Se você nunca precisou olhar qual a versão do kernel no seu OpenWRT, provavelmente não sentirá diferença. Existe diversas correções para problemas com placas atheros, mas parece que nem todos os problemas antigos foram sanados. Atualização: mas resolveu todos os que eu tinha ;-)
  • Suporte nativo IPv6
Para sortudos que já tem acesso à redes IPv6 nativa, a nova versão do OpenWRT deve ser uma das mais adaptadas ao mundo de pilha dupla. Para os demais, continuamos a depender de gambi... estratégias de contorno técnicas como túneis, que já comentei anteriormente. Você vai observar também o surgimento de uma nova interface wan6, dedicada ao suporte IPv6. Ela muda a forma de configurar IPv6, a exemplo do uso de túneis. Devo atualizar o artigo de IPv6 em breve.
  • Novo init: procd
O procd seria o equivalente ao systemd no OpenWRT. Com a alteração, os scripts de iniciação dos serviços precisam de ajustes. Caso tenha feito algum, deve ser necessário atualizá-lo. Como ele substituiu o hotplug2, pode ter algum efeito colateral nos scripts em /etc/hotplug.d/, como as funções acionadas por botão. Entretanto, parece que ao menos nesta versão, ele tem comportamento compatível com scripts antigos.
  • Suporte a snapshot e rollback
Ainda não tive a oportunidade de mexer neste recurso mas ele permite que você crie fotos de seu ambiente (no caso, as mudanças da overlay) e permite que você retorne a um estado anterior em caso de falha. Contudo, isto mexe um pouco a forma de trabalho, exigindo que você explicitamente save o estado atual do disco antes de reiniciar o roteador. Vou deixar isto para um artigo futuro.
  • Pacotes atualizados!
Entre os diversos pacotes disponíveis no OpenWRT, muitos sofreram atualização. Isto pode trazer aquele recurso que você sentia falta e nem sabia. Ou não.
  • Novo tema no Luci
Esta sim é uma mudança perceptível! A parte de "melhoria visual" é pessoal mas achei o novo tema mais limpo.
Se nenhum dos itens acima te motivou, resta o argumento do suporte. A versão anterior cairá em desuso. Neste blog, por exemplo, todos os novos trabalhos serão em relação ao BB. Deixarei as referências ao AA e posso citar como deveria funcionar na versão anterior mas as configurações não serão testadas. O mesmo vale para fóruns, wiki e outros meios.

E algum motivo sério para não atualizar? Sim, se você tem uma conexão com a internet de mais de 180MBit/s. Houve relatos de redução na capacidade de roteamento via NAT, antes em algo como 240Mbit/s, com a atualização. Provavelmente é um problema do kernel ou mesmo do compilador (ou uma interação entre eles). De qualquer forma, vai ser difícil a solução. Melhorias já ocorreram na versão em desenvolvimento mas são marginais. Simplesmente falta capacidade de processamento da CPU (lembre-se, ela normalmente roda em algo como 400Mhz!).

Se você está neste limite e precisa de algo mais rápido, provavelmente o firmware original seja o mais indicado. Ele possui o recurso de aceleração de NAT por hardware, que libera o uso da CPU. Com ele, você vai poder realizar NAT a quase a velocidade do fio (uns 900MBit/s). Como não existe um driver aberto para este recurso, dificilmente ele estará no curto prazo no OpenWRT. Acredito que quem está com uma conexão internet via fibra de mais de 150Mbit/s já deve ter trocado o roteador de R$100 por algo melhor ;-)

Logo vou atualizar o artigo de atualização do OpenWRT para incluir o BB.

E a próxima versão? CC? Sim, Chaos Calmer. Prometeram para o final deste ano mas acho difícil. Não acredito no prazo não tanto pela base do OpenWRT mas sim pelos pacotes extras, os feeds. Muitos pacotes estavam abandonados e desatualizados. Um dos prováveis motivos era a necessidade de enviar as atualizações via lista e esperar a boa vontade de alguém com permissão de commit para aplicá-lo. Isto pode funcionar para o núcleo do OpenWRT mas não é muito prático para as várias centenas de pacotes extra. Desta forma, os pacotes anteriores foram congelados em oldpackages e uma nova fonte foi construída no github. Se seu pacote favorito já não estiver no novo repositório do github e você não quiser que seu pacote desapareça do OpenWRT CC, você pode adotá-lo. Eu já fiz a minha parte adotando o ruby.

Até a próxima.

sábado, 16 de agosto de 2014

OpenWRT: Configurando o QoS - Configuração

Este é mais um artigo da série sobre o OpenWRT.

Dando continuidade ao artigo anterior sobre QoS, vou apresentar uma configuração simples de priorização de pacotes.

antigo anterior foi sobre tráfego de dados em rede e o problema do congestionamento. Aproveitei para esclarecer que o QoS não vai deixar sua internet baixando mais rápido. Vai sim dar agilidade para as aplicações que necessitam de resposta rápida e minimizar as consequências do congestionamento no seu link.

Congestionamento no link ocorre quando está chegando mais pacotes do que a conexão consegue enviar. Com isto, começa a formar uma fila no roteador que, quando cheia, irá descartar novos pacotes até que a fila tenha espaço. Isto é esperado pois é uma forma implícita de avisar o emissor da informação que, em algum ponto até o destino, um segmento de rede não está suportando tanto dados e ele deve reduzir a velocidade. Grande parte das transmissões de dados buscam enviar progressivamente a maior taxa de transferência possível. Consequentemente, irá ocorrer sempre o congestionamento no segmento mais lento. O congestionamento é, portanto, um comportamento normal e, inclusive, esperado. O problema é que a fila formada pode ser muito longa.

Normalmente, nossa conexão com a internet é o segmento mais lento de nossos usos da internet. Desta forma, a fila do tráfego que sai do seu computador para a internet (upload) se formará no seu roteador e o que vem da internet para sua rede no roteador da provedora de internet. Quanto ao tráfego que forma fila no nosso roteador, temos controle total e o QoS irá operar sem problemas. E o download? Já em relação ao download, os controles são limitados. A fila do tráfego se forma no roteador da operadora (que fica lá dentro da infraestrutura dela e o roteador que ela deixou na sua casa). Neste, não temos como criar filas com priorização para reordenar os pacotes. O comportamento simplificado é este:

  1. Você pede para baixar um arquivo de 700MB no servidor;
  2. O servidor envia progressivamente o arquivo com uma taxa de transferência cada fez mais alta;
  3. A taxa de transferência de envio supera a taxa de download do seu link com a internet. Começa a formar fila no roteador da operadora;
  4. O servidor ainda não sabe disto e continua a aumentar a taxa de transferência;
  5. A fila no roteador da operadora enche. Pacotes são descartados
  6. O servidor nota a perda de pacotes e pega mais leve. Reduz a taxa de transferência (e volta ao passo 2. até terminar o arquivo)

Então vou poder atuar somente no upload? Não, o QoS será mais efetivo no upload mas atuará no download. Apesar de não poder criar filas com priorização diferenciada no roteador da operadora, com muita sorte, elas fizeram o dever de casa e implementaram um QoS "legal" lá (¯\(ツ)/¯), mas não (e o marco civil da internet não proíbe que seu provedor configure o QoS por critérios técnicos, a exemplo do que iremos implementar aqui). O controle possível do lado do cliente é simular que a velocidade mais lenta está na sua rede interna. Quando o seu roteador notar que a taxa de transferência está atingindo o pico da sua conexão, ele supõe que esteja começando a formar fila no roteador da operadora. Nesta situação, antes de encher a fila no lado de lá e descartar pacotes, o seu roteador simulará um comportamento de congestionamento da rede interna. Como? Ele descartará pacotes. Quê?! Isto é bom? Sim! Lembre-se que o problema são as filas. Fica assim o comportamento (com destaque na mudança):
  1. Você pede para baixar um arquivo de 700MB no servidor;
  2. O servidor envia progressivamente o arquivo com uma taxa de transferência cada fez mais alta;
  3. A taxa de transferência de envio supera a taxa de download do seu link com a internet. Começa a formar fila no roteador da operadora;
  4. Seu roteador nota que a conexão está congestionada (ou quase) e supõe a formação de fila no roteador da operadora. Descarta pacotes antes da fila encher.
  5. A fila no roteador da operadora permanece pequena.
  6. O servidor ainda não sabe disto e continua a aumentar a taxa de transferência;
  7. O servidor nota a perda de pacotes e pega mais leve. Reduz a taxa de transferência (e volta ao passo 2. até terminar o arquivo)
Mas o download não pode deixar o download mais lento? Pode. Ligeiramente mais lento e provavelmente você nunca irá perceber. O que você irá perceber é que os demais pacotes (como a negociação de três passos do TCP, uma conversa VOIP, etc) irão chegar antes. Conexões UDP que exijam mais do que sua conexão, entretanto, não terão o mesmo efeito. Contudo, elas normalmente não são usadas para volume de dados e se beneficiarão da ausência de fila dos pacotes TCP.

Outro porém é se a sua rede local for mais lenta que a sua conexão internet. Para redes locais sem fio, principalmente quando esta estiver com baixa qualidade e a internet for bem rápida (algo acima de 20Mbits/s), pode ser possível que a fila de upload se forme no seu computador e a de download no seu roteador. Isto está incentivando padrões mais rápidos de wireless, como a 802.11ac.

Chega de papo, vamos a configuração.

O QoS é implementado pelo próprio kernel do Linux. A interface usada para configurá-lo é via o comando tc em conjunto com regras do iptables. Lidar diretamente com o tc é um pouco complicado, principalmente para quem não tem nem intimidade com o terminal. Para facilitar a vida, foram criados alguns pacotes para simplificar a configuração do QoS e evitar que você veja o tc. Um dos mais populares é o qos-scripts. Ele é limitado mas deve atender 97,23% dos casos.

Uma vantagem é a existência da configuração web para este pacote. Para instalar ambos, instale o "luci-app-qos". Se for configurar "na mão", basta o "qos-scripts".

Pela interface web Luci, acesse "Rede/QoS". As opções gerais são simples. Você vai habilitar a configuração e configurar a "Velocidade de recebimento" (download) e a "Velocidade de envio" (upload). Você pode usar valores um pouco abaixo do observado para garantir a atuação. A opção "Calcular overhead" já faz um pouco desta redução. O "half-duplex" indica se seu download e upload influenciam um no outro. Normalmente não é o caso pois temos taxa de download e upload fixas definidas pelo plano.

Dúvidas:

P: Se eu configurar o download acima do que eu tenho?
R: O QoS não irá atuar.

P: Se eu configurar abaixo?
R: Ele vai limitar sua conexão a esta velocidade. Meu provedor aumentou minha conexão de 1Mbit/s para 5Mbit/s e só fiquei sabendo quando ele enviou o aviso do "presente" pelo correio.

P: E se meu provedor fornece velocidades variáveis?
R: Se ele não fizer o QoS do lado dele, senta e chora. Lembre-se que você compra 1Mbit/s mas ele não precisa entregar exatamente isto todo tempo... Como a variação será para baixo, vai cair no caso da primeira pergunta.

Falta apenas as regras de classificação. Existem 4 classes por padrão na interface web:
  • prioritário: para pacotes pequenos como DNS e o ACK do TCP
  • expressa: para pacotes maiores com urgência, como VOIP e jogos Online
  • baixa: para transferência sem urgência e volumosas (torrent, dropbox, backup)
  • normal: para demais casos
A configuração pode ser feita por endereço de origem, de destino, serviço (identificado pelo layer7), protocolo de transporte, porta de destino ou volume de dados trafegado.

Por padrão, pela interface vemos as seguintes regras:
  • DNS e SSH são prioritários;
  • FTP, HTTP, SMTP, POP, IMAP, SMB são normais;
  • AIM/ICQ (nostálgico) são expressos.
Ainda existe algumas regras ocultas, só visíveis no arquivo de configuração:
  • UDP com pacote menor que 500 bytes é expresso;
  • ICMP é prioritário;
  • Portas 1024-65535 são baixa;
  • TCP com pacote menor que 128 bytes de pedido de conexão (SYN) ou confirmação (ACK) são prioritários
Sugiro sempre usar a interface web para, ao menos, criar uma configuração inicial. Se quiser se aventurar no arquivo de configuração, ele é bem legível e fica em /etc/config/qos.

Por fim, habilite e dispare o serviço QoS em Sistema/Inicialização.

Ah, se for testar outra alternativa de QoS (como o wshape dsl-qos-queue ou o wshaper), desative o qos-scripts. Nunca use mais de uma estratégia de QoS ao mesmo tempo! Você também pode montar na mão regras usando o iptables e o tc. Será um belo aprendizado.


Até a próxima.

segunda-feira, 4 de agosto de 2014

OpenWRT: Configurando o QoS - tráfego de dados em redes de computadores

Este é mais um artigo da série sobre o OpenWRT.


Já tive mais de um pedido para escrever como configurar o QoS (Quality of Service) no OpenWRT. Mas por que configurar o QoS? Para que serve isto? O QoS são regras de priorização dos pacotes. Quando sua conexão com a internet está com folga, o QoS pouco ou nada vai te ajudar. Ele vai fazer diferença quando você estiver usando toda a velocidade disponível (com sorte, a que você contratou ;-) ).

Antes de começar, algumas perguntas e respostas (curtas) frequentes:

P: Usando QoS vou fazer downloads mais rápidos (terminar antes)?
P: Posso melhorar minha velocidade de recebimento (download)?
P: Posso melhorar minha velocidade de envio (upload)?
P: Posso aumentar meu upload reduzindo o download?
R: Não

P: Estou falando no Skype e está picotando a voz. Com QoS vai melhorar a qualidade?
R: Depende se você está usando a internet também para outras coisas.

P: Se estiver somente usando a internet para o Skype?
R: Não

P: Se estiver baixando um filme ao mesmo tempo que falo no Skype?
R: Sim!

O "falando no skype" pode ser substituído por outros serviços em tempo real como "jogos online (FPS, MMORPG)" ou mesmo a resposta do navegador quando você clica em um link.

Ao final deste post, estas perguntas são revisitadas com mais detalhes.

Para entender o QoS, precisa entender um básico de redes. Este artigo será uma breve explicação do tráfego de dados em redes de computadores.



Uma analogia usada frequentemente na comparação com tráfego em uma conexão é o transporte rodoviário. A ligação de rede de internet é uma estrada onde não são permitidas ultrapassagens e todos os veículos trafegam com velocidade constante. Os dados transportados são como a carga levada nos veículos. Os veículos, por sua vez, são os pacotes de rede.

A "velocidade contratada da internet" é a quantidade de carga que você pode transportar por tempo, não a "velocidade dos veículos". Para os mais puristas, usa-se o termo taxa de transferência ou rendimento da rede. Largura de banda tem relação com os sinais e não diretamente com a taxa de transferência. Entretanto, todos estes termos são frequentemente usados como sinônimos. Se um Kbit fosse um quilo, a velocidade de 10Mbits/s seria, nesta analogia, transportar 10 toneladas por segundo, não importando a quantidade de veículos ou a sua velocidade. Em geral, nossas conexões residenciais são assimétricas (o "A" do ADSL), onde a taxa de transferência de ida (upload) é menor que a de volta (download).

O tempo de viagem do veículo é a latência da rede. É fundamental para usos multimídia (VOIP, Skype, videoconferência, jogos online). Para estes usos, é muito melhor ter uma taxa de transferência e uma latência menor do que uma taxa de transferência enorme mas com alta latência. Na analogia, não adianta ter a capacidade de transportar 10 toneladas mas por um caminho mais longo se sua encomenda é um pacote pequeno que precisa chegar o quanto antes (latência baixa).

As conexões podem ser divididas quanto a sua abrangência. Redes locais (Local Area Network - LAN)  tem alcance curto, mas normalmente taxa de transferência alta e latência baixa. Já redes "longas" , (Wide Area Network - WAN), no caso a sua conexão com a internet, tem normalmente características inversas: taxa de transferência baixa e latência alta. Seguindo na analogia, as LAN são as ruas da cidade, onde a viagem é curta e o tempo é (ao menos deveria ser) menor. Elas também são capazes de um grande volume de tráfego. Já uma rodovia, pela distância, tem um tempo de viagem maior ("latência alta") e pode transportar menos carga (taxa de transferência baixa).

Para possibilitar a transição das ruas da cidade (rede local) com a rodovia (conexão com a internet), é necessário um ponto de ligação. Em geral, é onde eles colocam a praça de pedágio. Na sua rede local, é onde se localiza o seu roteador.

Como ocorre no transporte rodoviário, quando as ruas enviam mais carros do que a rodovia pode absorver, ocorrem filas. O mesmo ocorre quando um servidor na internet envia dados para você a uma taxa maior do que sua conexão está preparada para receber (ou vice-versa). No roteador, estas filas tem tamanho fixo. Caso fique cheia, os "carros a mais" são catapultados para fora da pista (os pacotes são descartados) sem aviso ao emissor ou receptor.

Vamos imaginar que estamos enfrentando um congestionamento. Nesta caso, existe uma longa fila antes de chegar na rodovia (conexão com a internet). O veículo pode ser simplesmente descartado (se a fila estiver cheia) ou ter que aguardar a sua vez chegar para poder entrar na rodovia. Isto aumenta o tempo da viagem (a latência da sua conexão). Dependendo das configurações, o atraso nesta fila pode ser na ordem de  alguns segundos.

Outra característica importante é como ocorre a negociação da transferência. O TCP, usado na grande maioria das vezes que você faz algo na internet, opera simplificadamente desta forma:
  1. E: Manda um pacote para o endereço R, dizendo que eu quero enviar uma carga;
  2. R: OK, recebi, responda a E que ele pode enviar;
  3. E: OK, avise o R que eu recebi o seu OK e vou mandar a carga;
  4. E: Mande 1 pacote com carga;
  5. R: OK, recebi, 1 pacote;
  6. E: Receberam todos. Vamos mandar mais! Mande 2 pacote com carga;
  7. R: OK, recebi, 2 pacote;
  8. E: Receberam todos. Vamos mandar mais! Mande 4 pacote com carga;
  9. R: OK, recebi, 4 pacote;
  10. E: Receberam pacote. Vamos mandar mais! Mande 8 pacote com carga;
  11. R: OK, recebi, 7 pacote;
  12. E: Ops, perdemos um pacote! Acho que a fila está cheia. Vou mandar menos. Mande 6 desta vez.
Vamos por partes, a começar pelo início. Note que são necessários 3 pacotes para apenas pedir ou enviar dados. Imagine que a fila entre a sua rede local e a conexão com a internet esteja com tal tamanho que um novo pacote leve 3 segundos para passar por ela. Só para chegar o primeiro pacote com dados daquela página que você queria acessar, demoraria mais de 9 segundos (3s no passo 1; 3s no passo 3; 3s para pedir a página no passo 4).

Outro detalhe é que o protocolo busca sempre encher a fila! Só recua quando algum pacote é recusado pois a fila já está cheia. Então, se você estiver anexando uma foto no e-mail, sua fila de envio estará cheia. O resultado será o atraso no skype, na navegação, etc. Este atraso pode, inclusive, iludir o emissor que o destino não recebeu os pacotes pois a confirmação ainda está na fila e o tempo de espera se esgotou. Isto faria com que ele reenviasse os pacotes já recebidos.

E os pacotes perdidos, não são um problema? Não! Em situações normais, são perdas mínimas (menos de 1%). Esta perda de pacotes é usada como sinal de congestionamento. O problema mesmo é a formação de filas. Elas podem ser muito grandes (grande problema hoje da internet conhecido como BufferBloat). Esta fila única também não é adequada para diferentes serviços. Alguns aproveitariam bem uma fila maior (transferência de grande volume de dados) enquanto outros se comportariam melhor com filas menores (Skype). Contudo, perda de pacote acima de 1%, normalmente provocada por falha física ou extremo congestionamento, torna a navegação uma tarefa impossível.


Solução? Faça filas de tamanhos diferentes para cada tipo de aplicação. Voltando a analogia do trânsito, seria uma praça de pedágio com diversos guichês. Como a rodovia é uma pista simples, somente um carro sai por vez. Nas filas com maior prioridade, as filas teriam tamanho máximo menor. Entretanto, seriam mais "selecionadas" para liberar carros mais rapidamente. As filas usadas para maior volume teriam seus veículos mais retidos. Isto é QoS.

Voltando as perguntas frequentes, agora com respostas longas:

P: Usando QoS vou fazer downloads mais rápidos (terminar antes)?


P: Posso melhorar minha velocidade de recebimento (download)?

P: Posso melhorar minha velocidade de envio (upload)?
R: Não. A taxa de transferência é característica da conexão e é pouco afetada por variações na latência. Os valores de download e upload são definidos pelo plano contratado.

P: Estou falando no Skype e está picotando a voz. Com QoS vai melhorar a qualidade?
RDepende se você está usando a internet também para outras coisas.

P: Se estiver somente usando a internet para o Skype?
R: Não. Como você somente está usando o Skype, a fila é ocupada apenas pelos dados do Skype.
Ele normalmente tem um bom algoritmo para reduzir a necessidade taxa de transferência e evitar filas no roteador. Se estiver picotando, é o outro lado ou a sua conexão não aguenta nem mesmo o mínimo necessário. Sugestão? Desligue o vídeo ou aumente seu plano da internet (ou da pessoa do outro lado).

P: Se estiver baixando um filme ao mesmo tempo que falo no Skype?
RSim! Podem ser criada filas para cada característica de uso dos protocolos. Para os casos com maior volume de transferência (torrent), uma fila maior e com menor prioridade. Para Voip, uma fila menor com alta prioridade. Acesso HTTP é mais complicado pois pode ser tanto uma atividade que exige resposta rápida (navegação) como alto volume de dados (download). Porém, pode ser indiretamente beneficiado ao colocar protocolos conhecidos que usam alto volume de dados com menor prioridade.

Para avaliar sua conexão de internet, fica a sugestão de dois testadores:


    Estes testes informam, além da taxa de transferência e da latência, uma medição do jitter, que é a variação na latência entre diversos testes. Quanto menor, mais estável é a sua latência (mesmo ela sendo alta ou baixa).

    O próximo post será sobre a configuração do QoS no OpenWRT. Até a próxima.