Conexiones entrantes no funcionan con failover cuando cae WAN

Miguelino

Buenos dias. Tengo un problema con la configuracion de failover. En principio el loadbalancer y el failover funcionan perfectamnete para todo el trafico saliente, es decir, hacia internet. Si cae OPT1, las conexiones entrantes por el interfaz WAN funcionan perfectamente, pero si cae WAN no funcionan las conexiones entrantes por OPT1. Alguien sabe algo de este tema. Gracias.

bellera

Eso es normal.

Desde Internet nadie puede saber cuál es la IP pública alternativa a usar si ha caído la primera.

Otra cosa sería balancear dos servidores publicados en Internet, que sí se puede hacer.

http://doc.pfsense.org/index.php/Inbound_Load_Balancing

La única forma posible de hacer lo que quieres es mediante balanceo de DNS. Esto tendría que hacerlo tu proveedor de Internet, http://es.wikipedia.org/wiki/Dns_round_robin

En su día lo pregunté al mío y me dijo que no podía.

Si haces un nslookup www.google.com verás como te contesta con varias IPs posibles. Es así como lo hacen "los grandes".

Miguelino

Buenas noches bellera. NO hago las conexiones externas atraves del DNS sino apuntando directamente a la IP pública de WAN o de OPT1. Si cae WAN e intento conectar apuntando desde internet a la IP publica de OPT1, no funciona, pero si cae OPT1 y apunto a la IP publica de WAN si conecto.

bellera

Insisto que el balanceo hacia adentro no existe.

Esto es que tienes algo mal configurado en la instalación.

Revísala bien: cada interfase de pfSense debe pertenecer a una subred distinta, WAN y OPT1 tienen que tener definido el NAT entrante (port forward) para el servicio que tienes publicado en Internet…

Es bien simple lo que quieres: un servicio en Internet que se "vea" por dos interfases WAN. No debería tener pega alguna.

Miguelino

Hola Bellera. Si el nat lo tengo configurado y de hecho funciona bien para cada interface WAN y OPT1, pero siempre que no caiga WAN. Si quito la configuracion de balanceo entonces funciona perfectamente. He posteado tambien en el foro ingles y probado una configuracion que me sugieren pero seguimos con el mismo problema.

bellera

¿WAN y OPT1 tienen IP pública o los tienes detrás de un router haciendo NAT hacia éllas?

¿Tienes reglas en LAN que aseguren la ruta hacia las posibles redes WAN y OPT1, en caso de tenerlas? Tal como está en el ejemplo: http://forum.pfsense.org/index.php/topic,20382.msg104729.html#msg104729

Miguelino

En el caso de OPT1 tengo un router que hace nat de todos los puertos hacia opt1 (conexion con ONO), y en WAN tengo conexion PPPoe con telefonica. Las reglas son las mismas que pones en tu otro post, solo que la primera regla con Destination WANnet –> Gateway 192.168.xxx.1, en mi caso el gateway es Default.

bellera

No puedo asegurarte que el problema venga de ahí y, en todo caso, sería un bug o algo no previsto…

pero...

no me gusta que WAN tome IP pública y OPT1 tome privada. Preferiría que WAN también tuviese su router. Sería más "simétrico" el montaje.

¿Qué sugirieron en el foro en inglés? ¿Puedes indicar el post?

Miguelino

Buenas tardes. Te copio link del post en inglés.:

http://forum.pfsense.org/index.php/topic,31324.0.html

bellera

Bueno, no aclara el tema.

Sin embargo, yo probaría a poner un router en lado de Telefónica y a no emplear "default" como gateway en las reglas y especificar la puerta…

Tengo 2 pfSense 1.2.3 con multiLAN y multiWAN (uno con balanceo) y no he notado problemas de este tipo con los servicios publicados en Internet. Eso sí, repito, detrás de cada WAN hay un enrutador del proveedor de Internet haciendo sólo los NAT necesarios. Me gusta trabajar así porque es un primer "cortafuegos" y además me permite testear las conexiones en caso de dudas, congando un PC en una de las bocas del router.

Miguelino

Ok, pero no aparece la puerta de WAN en el listado de gateway, solo aparece default. Por otro lado, no entiendo sin el router de OPT1, esta haciendo NAT perfectamente cuando trabajan WAN y OPT1 con balanceo, porque no deberia de funcionar correctamente cuando cae WAN. De todas maneras lo pruebo a ver que tal.

bellera

Claro, sólo te aparece Default para WAN porque la IP pública es desconocida para pfSense, al tomarla del proveedor de Internet.

Si tuvieras un router detrás, con una IP privada en su LAN y la pública en su WAN entonces sí podrías indicar la IP privada del router en lugar de Default.

Insisto en que es una intuición que el uso de PPPoe sobre la WAN es lo que te da problemas, al estar obligado a emplear Default. No puedo verificarlo porque nunca trabajo así. Me gusta dejar la connectividad de los proveedores de Internet a parte, como ya comenté.

Miguelino

ok. En cuanto pueda hare las pruebas y te comento. Saludos.

Miguelino

Buenas tardes Bellera. Perfecto, he configurado el router de WAN como router y no como bridge, que era como esta antes. He abiertos los puertos para que apunten a WAN y en las reglas de la lan, le digo que WAN salga no por default sino por la ip del router. Ahora funciona perfectamente.

bellera

¡Perfecto! ¡Me alegro!