Loadbalance problemas com acesso a internet
-
@mcury eu uso os DNS informados pela empresa do link principal e os servidores locais que da minha rede NS1 e NS2 e agora o DNS da WAN2 e cheguei a colocar o do google também.. não sei se faz diferença
-
@anderson-soprana Quando você adiciona um servidor DNS nessa aba, o pfsense automaticamente cria uma rota para esse servidor DNS pela WAN escolhida.
Por este motivo, o seu traceroute para 8.8.8.8 fez caminhos diferentes.Vai em: Diagnostics/Routes que você pode ver as rotas.
Ou acesse o pfsense por SSH e digite, netstat -rn1 - Eu removeria esse servidor 8.8.8.8 daí.
2 - Confirmaria se as máquinas que estão pegando IP pelo DHCP estão usando o DNS do pfsense.
3 - Habilitaria a seguinte função no DNS Resolver:
Pelo que vi nas suas configurações, acredito que isso resolveria o seu problema, no entanto vale ressaltar o seguinte:
Resumindo, alguns sites podem não aceitar conexões com IPs diferentes, especialmente sites de bancos e etc, onde você pode fazer o failover de conexões HTTPs e load balancing pro resto.
A função Sticky connections foi feita para solucionar isso, mas historicamente tem problemas conforme descrito acima.
Além dos 3 itens descritos acima, eu faria:
1 - Um novo gateway group mas dessa vez sem balanceamento, coloca Tier 1 e Tier2.
2 - Uma nova regra de firewall acima da regra de Internet, para quaisquer destinos na porta TCP 443, usando esse gateway group de failover. -
pelo que esta acontecendo de ficar um tempo sem acesso a internet parece ser sintomas de quando um link fica down até as conexões serem realocadas para a outra interface.. porém não estou tendo problemas com os links de internet..
-
@mcury ok, vou verificar sua sugestão espero que de certo..
-
@anderson-soprana said in Loadbalance problemas com acesso a internet:
pelo que esta acontecendo de ficar um tempo sem acesso a internet parece ser sintomas de quando um link fica down até as conexões serem realocadas para a outra interface.. porém não estou tendo problemas com os links de internet..
Para este fim, você pode 'tunar' o gateway monitoring em: System/Routing/Gateways/Edit
Pode ler mais sobre isso em:
https://docs.netgate.com/pfsense/en/latest/routing/gateway-configure.html -
@mcury então, fiz mais alguns testes e percebi que a intermitência de acesso a internet se da a diferença de roteamento entre as duas redes na NAT/Outbound. A nossa rede principal Wan1 não faz roteamento Outbound por termos blocos de IPs Reais que são vistos pela internet e Wan2 é um NAT/Outbound.
Para testar eu configurei a rede principal Wan1 para fazer NAT/Outbound automático para se igualar a Wan2 e após alguns testes percebi que a saída de tráfego fica constantemente sendo intercalada entre as duas redes no cliente, hora sai por uma rede hora por outra (loadbalance) e nesta configuração notei que a instabilidade que ocorria parou. há uma dificuldade da configuração do pfsense em realizar o roteamento entre as duas Wans de maneira Mista..
Problema que todos os serviços servidor web, banco de dados, dns e outros não utilizam NAT e agora ter que fazer NAT e regras de firewall para redirecionar serviço vai ser um caos..
Se tiverem uma solução que possa me ajudar fico grato, até lá continuarei a utilizar apenas o link principal para que o trabalho da empresa não pare e vou estudar e amadurecer uma ideia para resolver esta situação.
Grato até o momento..
-
@anderson-soprana said in Loadbalance problemas com acesso a internet:
então, fiz mais alguns testes e percebi que a intermitência de acesso a internet se da a diferença de roteamento entre as duas redes na NAT/Outbound. A nossa rede principal Wan1 não faz roteamento Outbound por termos blocos de IPs Reais que são vistos pela internet e Wan2 é um NAT/Outbound.
O NAT não influencia o roteamento, já que você tem IPs reais na LAN, você deve desabilitar o NAT outbound para esses IPs pela WAN1, para que eles usem o IP real ao navegar na Internet.
Além disso, o ideal seria que esses IPs saíssem do balanceamento de carga.O que você pode tentar é fazer o seguinte:
Vá em : System > Advanced > Miscellaneous
Habilite a seguinte opção:
Feito isso, siga da seguinte maneira:
1 - Crie novamente o NAT outbound para esses IPs reais sairem pela outra WAN2
2 - Crie uma nova regra de Firewall forçando esses IPs reais a sairem pelo seu gateway original, sem o NAT, nesse caso WAN1, precisa por o gateway lá, WAN1 na regra, ok?
3 - Crie uma regra abaixo da regra criada no item 2, fazendo com que esses IPs reais saiam pelo balanceamento de carga ou pelo grupo de failover.Com isso, espero que quando a WAN1 caia, a regra que força pela WAN1 seja desativada pela função que habilitamos e o tráfego pule para a próxima regra que é o balanceamento de carga ou failover e use o NAT criado no item1 acima, ou seja, pela WAN2.
-
@mcury sim eu já tinha os IPs reais sem NAT saindo pela Wan1 eu só ativei para que pudesse verificar se este era o motivo de pelo qual em algum momento o cliente ficava sem internet por alguns instantes e acabei constatando o problema pois ativando o NAT a rede fluiu perfeitamente em loadbalance entre as duas Wans..
Concordo plenamente com a sua colocação, eu esqueci de mencionar que inicialmente quando eu testei as duas Wans no modo failover funcionaram perfeitamente... e como vc mencionou o link principal Wan1 continua com toda a carga e quando fica off o link secundário Wan2 assume perfeitamente.
Porém, é que o link fica sobrecarregado por sermos uma instituição de ensino, o acesso é constante e a solução do Loadbalance que eu gostaria de manter para não sobrecarregar apenas um link seria a solução, porém vai ter que esperar mais um pouco
Vou refazer apenas como failover para manter uma redundância que também vai ajuda há resolver alguns problemas com queda do link principal..
Creio que posteriormente com alguns testes eu consiga manter os serviços necessários sem NAT para que se possa aplicar o balanceamento, postarei aqui caso consiga aplicar esta ideia..
grato pela ajuda ...
-
@anderson-soprana Uma outra dica que eu posso dar é fazer o balanceamento manual..
Aqui você pode fazer dois grupos de failover
Grupo 1: WAN1 Tier 1 / WAN2 Tier 2
Grupo 2: WAN1 Tier 2 / WAN2 Tier 1E dessa maneira, você coloca a VLAN A para usar o grupo 1, e a VLAN B para usar o grupo 2
Não esqueça de atualizar aqui para nos dizer como foi, agora fiquei curioso para saber se a solução proposta realmente funcionou, e pode ajudar outras pessoas no futuro.
-
@mcury Isso mesmo...
Atualizo sim, as ideias são os frutos das soluções...
