Problemas con una configuración multiWAN
-
Estoy haciendo pruebas con un equipo con una pfSense versión 1.2.3-RC3 instalada.
El equipo, un Core2Duo con 1 GB de RAM y 5 tarjetas de red (4 en PCI y una integrada) tiene la siguiente configuración:
[router ADSL] 192.168.1.254 –-- 192.168.1.250 WAN |------------------------------|
[router ADSL] 192.168.2.254 –-- 192.168.2.250 WAN2 | pfSense |
| |
[LAN] 192.168.3.x –------------ 192.168.3.250 LAN |-----------------------------Las dos tarjetas sobrantes están aún sin configurar pero posteriormente quiero añadir otra ADSL y un Punto de Acceso para que haga de Portal Cautivo.
He configurado los siguientes paquetes:
- ntop | Para monitorizar el tráfico
- squid | Para filtrar en qué webs esta pèrmitido entrar
- squidGuard | (ha sido configurado como proxy transparente)
Hasta aquí el equipo funciona perfectamente.
Necesito ahora configurar el balanceo de carga de las ADSL (multiWAN).
He buscado tutoriales pero principalmente he seguido distintos tutoriales:
http://doc.pfsense.org/index.php/MultiWanVersion1.2 del propio wiki de pfSense
http://sites.google.com/a/terminuspro.com/internet/manuales/multiwan Otro manual que explica cómo hacerlo.Configuro el pool, y añado las reglas que ne dice tanto uno como otro tutorial.
Mientras WAN esta habilitado todo funciona como si no existiese el balanceo, pero en cuanto "cae" (WAN) no es capaz de rutar hacia la ADSL que aún sigue activa (WAN2)¿En qué me estoy equivocando?
¿Hay algún otro tutorial que me explique "pasito a pasito" una configuración tipo sobre la que basarme?
¿Hay algún problema por tener el proxy transparente activo (según he leído multiWAN se "pelea" con la mayoría de paquetes)?Gracias y un saludo
-
Más datos:
He reinstalado el equipo y he configurado solamente el multiWAN. He conseguido que funcione -cuando apago la WAN WAN2 "coge" todo el tráfico; pero noto (ahora mismo solo estoy yo usando el firewall) que la conexión va muy lenta en carga y muchas veces "pierdo" Internet -en Firefox obtengo muchos errores de tipo: "la conexión se ha reiniciado"-
En system/advanced he activado el "Use sticky connections"
En Wan y opt1 (Wan2) está desactivado el "the userland FTP-Proxy application"
En servicios, Load Balancer he creado los siguientes pools:
LoadBalance | gateway (balance) | wan-opt1 | 195.235.113.3/195.235.96.90 | Balanceo
WanFailover | gateway (failover) | wan-opt1 | 195.235.113.3/195.235.96.90 | Cuando Wan cae
Wan2Failover| gateway (failover) | opt1-wan | 195.235.96.90/195.235.113.3 | CUando Wan2 caeEn las reglas del firewall (apartado Lan) he añadido en este orden (tal como el tutorial dice que se debe hacer):
Proto Source Port Destination Port Gateway
* Lan net * 192.168.1.0/24 (el router 1) * 192.168.1.254 (la puerta de enlace de ese router)
* Lan net * 192.168.2.0/24 (el router 2) * 192.168.2.254 (la puerta de enlace de ese router)
* Lan net * * * LoadBalance (el pool de balanceo anteriormente descrito)Compruebo que en Status/LoadBalancer todos los pool me dan "online" y cuando cae uno de ellos se pone en "offline" (o sea, el pfSense se entera de que ha caido una de sus Wan…
¿Alguna idea de qué comprobar/configurar además de lo ya expuesto?
-
Yo estoy en el mismo paso q tu pero tengo una duda como configuro las reglas cuando tengo un adsl directo a pfsense
Osea tengo una wan q viene de un router y la otra wan es una conexion ppoe y el mismo pfsense se encarga de la conexion…Y cuando quiero realizar la reglas no tengo claro como configurar el destino y el gateway...???
-
¡Hola!
Precisamente estos días ando con cambios y he montado un segundo pfSense (1.2.3) para balancear dos enlaces.
Tras unos días de funcionamiento he visto que en mi caso no conviene sticky connections. Es un ambiente escolar, hay un proxy y nuchos accesos simultáneos a las mismas webs. La conclusión es que prácticamente no balanceaba la conexión, al variar poco el origen (proxy) y el destino (mismas webs).
Así que desactivé sticky, creé un pool para failover y puse una regla que lo emplea por delante del balanceo para los destinos TCP https. A ver qué tal va la semana próxima …
[Status] [RRD Graphs] [Traffic] [Outbound] para ver el resultado del balanceo.
[Diagnostics] [States] para comprobar por dónde va una conexión. Por ejemplo te logueas en un banco por https y miras los estados para ver por qué router estás saliendo.
Saludos,
Josep Pujadas
-
Hola Bellera,
Probé con y sin "sticky connections"… El problema para mí era -después de postear en todos los sitios sin resultado y leer, leer, leer, leer...- es que squid en su versión 2 y con pfSense balanceando NO funciona… ya parece haber habído gente rompiendose los cuerdos -de Beastie se entiende ;) - y no han encontrado forma... Se comenta que 2.0 sí podrá...
Bueno... sí se puede con 1.2.x ... una forma de poder hacerlo es tal como al final lo he montado y sobre el que estoy haciendo pruebas:
pfSense1 pfSense2
Router ADSL --------- |-------------------------------| |----------------------------------------|
| pfSense balanceando las ADSL |-----| pfSense haciendo de proxy transparente |----- Red Local
Router ADSL --------- |-------------------------------| |---------------------------------------Me parece una "infrautilización del primer pfSense pero es una de las opciones fundamentales que me han pedido: que balancee.
De esa forma la "WAN" de pfSense2 esta conectada directamente a la "LAN" de pfSense1 y pfSense2 (el proxy) no "se entera queha cambiado el gateway porque para él es siempre LAN de pfSense1.
Hay cierto "fallo": Si el usuario de la red local pone como su puerta de enlace la IP de la LAN de pfSense1 -si la sabe- se pasa "por el forro" el proxy (que es una subred distinta). No se me ocurre el modo de bloquear eso sin bloquear el tráfico "legal" de la red local... estoy investigando eso...
¿Alguna sugerencia?
-
¡Hola!
Hay cierto "fallo": Si el usuario de la red local pone como su puerta de enlace la IP de la LAN de pfSense1 -si la sabe- se pasa "por el forro" el proxy (que es una subred distinta). No se me ocurre el modo de bloquear eso sin bloquear el tráfico "legal" de la red local… estoy investigando eso...
¿Alguna sugerencia?
Pon una regla que deniegue el tráfico a esa IP salvo desde tu PC de administración de redes …
Saludos,
Josep Pujadas