Dudas de configuración entre 2 Pfsense (Solucionado)
-
Les relataré lo mas breve y más claro que pueda, unas dudas que tengo acerca de la configuración entre 2 pfsense que tengo trabajando. Ruego me puedan ayudar a aclararlas.
Tengo en una oficina una máquina viejita y de pocos recursos (700 Mhz, 128 Ram, 10Gb HD), conectado a ella tengo 3 interfaces de red, 2 WAN, 1 LAN. Está corriendo la versión 2 RC1 de Pfsense, sin ningún paquete adicional instalado, la tengo haciendo Load Balance entre 2 lineas ADSL (2 modems en modo router con ip fija para cada interface WAN: WAN1 y WAN2), Una de 2Mb y la otra de 1 Mb.
La LAN no hace dhcp, la tengo en el rango 10.0.10.xConectado a la LAN, tengo un dispositivo wireless que me enlaza con la otra oficina, desde donde opero un pequeño Wisp.
Ahora bien, en ésta oficina antes de montar un segundo Pfsense, estuve algunos dias realizando pruebas y estudiando el comportamiento del server de la Oficina 1, através de una maquina (Host) conectada en éste extremo de la conexión, o lo que es lo mismo conectada a la LAN del pfsense; En la evaluación todo excelente, resolución casi instantánea, el load balance fenomenal, y en general todo muy bien.
Como todo estuvo bien, decidí implementar un segundo Pfsense de mejores prestaciones, pero localmente en la Oficina 2, para que me sirviera de Proxy Cache, Portal Cautivo, y algún otro servicio para comenzar con el Wisp. Éste segundo server posee mejores prestaciones, y está corriendo la versión 2 RC3 de Pfsense. Posee 2 interfaces de red: WAN y LAN, La WAN tiene una ip fija configurada en el mismo rango de la LAN del primer pfsense (10.0.10.x). La LAN de este segundo Pfsense tampoco hace dhcp, ya que los clientes los configuro con ips fijas. Esta LAN trabaja en otro rango de ip (192.168.1.x)
Cuando terminé de configurar éste segundo server, me dispuse a instalar algunos paquetes adicionales (Squid, Lightsquid, SquidGuard, bandwidthd, etc) Y tratar de configurar en lo posible sus respectivos parámetros.
Entonces me he fijado que acá todo trabaja aceptablemente bien, a excepción de una pequeña falla: No se por qué cuando me conecto a la LAN de éste segundo server, la resolución se incrementa de una manera bastante perceptible, no es que se ponga extremadamente lenta la navegación, pero si se percibe un "Delay" en ella, cosa que no me gusta, ya que entre mayor número de clientes me imagino se volverá mas inestable esta "falla"; cosa que también sucede con la velocidad de descarga: Cuando descargo algo (descarga directa), sí puedo lograr la máxima velocidad que puedo obtener de cada línea, pero va aumentando de a poco la velocidad hasta que logra la mayor posible. Es un comportamiento extraño que observo cuando el host está detrás de la LAN del segundo server.
Para salir de dudas, reinstalé el Pfsense en el segundo server, y esta vez sin paquetes adicionales, y con las configuraciones mínimas en WAN y LAN. Volví a probar así, y los mismos resultados… :-\
En ese punto decidí apartar este server y conectar nuevamente la maquina de pruebas al extremo de la LAN del Pfsense de la Oficina 1, o lo que vendría siendo la WAN del Server 2, realizé pruebas y todo Excelente, la navegación vuelve a la normalidad, con una resolución casi instantánea, la descarga también vuelve a ser como antes, y en general todo muy bien.
No se entonces en que configuración del segundo server estoy errado, pero no le tengo ninguna regla ni en LAN, ni WAN, solo las que trae por defecto, y en el primer server solo tengo las reglas para HTTPS, y para el acceso remoto al server; No se si es que estoy pasando una regla por alto entre los 2 servers o algo similar. Pero necesito implementar este 2do server para que todos los servicios los haga localmente y librar de toda carga posible al Primer server y el enlace hasta él.
Aclaro algo muy importante, y disculpadme si es una novatada, pero cuando configuro los Dns del segundo server, no hay manera de que ponga en DNS, la ip del primer server, me sale el siguiente error: You can not assign a gateway to DNS '10.0.10.1' server which is on a directly connected network. No se supone que el primer server me sirve de Dns, y este a su vez se vale de los DNS que ya la configuré a el (Dns en el primer server)?
Entonces me toca ponerle Los Dns individuales, si le pongo los mismos del primero, la "falla" persiste, si le pongo todos distintos, da lo mismo, asi que los pongo mezclados a ver que pasa pero igual, el mismo "problemilla". :-\
Adjunto unas imágenes de pruebas de Velocidad con la máquina detrás del server 2, y luego solo detrás del server 1, donde se observa claramente que detrás del server 1 va mucho mejor la conexión.
Desde ya muchas gracias a los que se toman la molestia de dedicarle unos minutos a leer sobre éste problema, y a los que aporten sus opiniones y/o sugerencias.
Saludos.
-
Bueno Bueno… creo que le doy al problema.....
El Problema es de tiene que hacer la resolución de nombres desde el segundo server mas no del primero... de esa manera hay menos congestión....
Primero desactiva el DNS forwarder del primer Pfsense, después configura a tu segundo pfsense con los DNS de tu ISP
Ahora en tu caso pondría en la mascara de red 30 o de esta forma 255.255.255.252
si tienes dudas revisa esta web
http://www.aprendaredes.com/cgi-bin/ipcalc/ipcalc_cgi
de esa manera solo hay 2 IP y no un 3ero
oh mas fácil configura para que se conecten con PPP de esa manera nadie se saltara tu portal cautivo…
Prueba y comenta como te fue.... -
Hola Jonathan, muchas gracias por tu consejo. No lo he probado, pero apenas pueda lo pruebo y te comento.
Lo que pasa es que desde hace días el server principal, al que se conectan los modems, me está dando errores; Del tipo: kernel: arpresolve: can't allocate llinfo for 192.168.1.1, para ser mas específico, por eso no he podido probar tu consejo aun.
Estoy tratando de buscar posibles causas/soluciones a este tipo de errores en foros de pfsense y freebsd, pero al parecer son muchas las posibles causas y posibles soluciones. En mi caso, cuando veo el log del sistema, me doy cuenta que el error se produce cada segundo o cada 2 cuando mucho.
Seguiré investigando sobre este nuevo error, y apenas pueda pongo en práctica lo que me dijiste que hiciera a ver que tal, y te comento.
Saludos.
-
Al parecer se ha solucionado, siguiendo el consejo de rejonathan de la opción de dns forwarder, pero con un pequeño detalle: Lo desactivé del server 1, y me quedé sin navegación detrás del server 2, luego lo intenté al revés, lo desactivé del server 2 y lo volví a activar en el 1ero a ver que tal me iba y al parecer funcionó, va bastante bien; lo que me hace pensar que siempre es el server conectado físicamente a los modems el que tiene que resolver Dns. Ya solo queda jugar un poco con los servers dns para ganar un poco mas de "velocidad de respuesta" en la navegación, ya que los de mi ISP van un poco lentos algunas veces.
También me ha parecido interesante el comentario acerca de la conexión PPP, para que no se salten el portal cautivo, pero tengo una duda, ¿Esta conexión PPP se establecería entre la LAN del 1er server y la WAN del 2do? ¿O la LAN del 2do y los usuarios?
Gracias por la aclaratoria.
Saludos.