[Resolvido] LoadBalance + Sticky Connections + Bancos
-
Bom dia rapaziada, criei meu loadBalance e FailOver baseado nesse tutorial (video).
http://www.youtube.com/watch?v=exa9OxyZ84UPorém o sticky não está funcionando para bancos ficaram somente em 1 link. Pois toda vez que troca-se o IP ou Link cai a sessão de banco.
Já dei uma fuçada no fórum a respeito disso.
Att.,
Rodrigo
-
Joga seu https todo para um um link só com fail over para o outro.
Configura esta regra antes da regra de balanceamento.
Nos tutoriais, tem uma dica sobre como aplicar um Patch no pfsense para adicionar o campo com tempo limite do stick.
http://forum.pfsense.org/index.php/topic,8930.msg229710.html#msg229710
-
Verifiquei o post, porém criei a regra que achei mais fácil TCP > **** que solicicar WAN > HTTPS Vai para o LINK 1.
Não funcionou também .
Att.,
rodrigo
-
Não funcionou também .
Tem certeza que esta regra está "antes" da regra do loadbalance? É sempre importante lembrar que o fw é interpretado sequencialmente e, neste caso, a ordem dos tratores altera sim a construção do viaduto!
Se condições da regra "A" forem satisfeitas, ela será executada em detrimento da regra "B"!
Outra observação… você colocou a regra na sua WAN? Se foi isso, você precisa colocá-la na sua LAN!
Um último detalhe é que alguns sites de bancos mantém um limite de tempo muito curto para seções abertas entre o cliente e o site. Isso pode ocasionar alguns problemas pontuais de encerramento da seção e consequentemente perda da situação de "sticky". Mas o marcelloc, já deu uma dica bacana sobre um path onde você pode regular este "tempo de seção"!
Abraços!
Jack -
-
Você não especificou/fixou qual é o gateway de saída para a conexão TCP/443!
Precisa fazer isso na rule, em "advances" (veja tela)!
Abraços!
Jack
-
Especifiquei sim WANWG.
Att.,
Rodrigo
-
Especifiquei sim WANWG.
Não é o que aparece na sua tela…
Veja em gateway... você tem um "*". Contudo, se um gateway não foi definido como padrão em "System: Gateways", sua regra não resolve o seu problema. Force um gateway padrão conforme minha tela!
EDIT
Nota: Outro detalhe importante… a sua regra (que está de todo jeito errada, conforme discutido abaixo), onde você especifica o gateway WANWG, está depois da regra mais genérica. Logo nunca seria executada!
Abraços!
Jack -
Nenhuma regra para 443 esta correta
os ips dos bancos estão na internet e não em wan_net ou lanaddress
o correto em destination é any ou *
@rodsgobbo:Segue a tabela de regras.
Att.,
rodrigo
-
Nenhuma regra para 443 esta correta
Opa… mto bem observado marcelloc. Eu realmente não havia percebido que o colega tinha deixado LAN Address no campo Destination.
Isso + minha dica = morta a lebre! :)
Abraços!
Jack -
-
Corrigida. Esperando teste do usuário no banco safra.
Não esquece de corrigir as outras regras também… ;)
-
Pergunta boba mas. O que tem de errado nas outras ?rsrssr
Att.,
rodrigo
-
Pergunta boba mas. O que tem de errado nas outras ?rsrssr
A sua anti-lock rule sugere que você usa seu pfsense via http e não https.
Se isso estiver correto, a regra na lan para a lan_address porta 443 não tem uso.
Se 172.18.1.14 for um ip de servidor na OPT1, então o seu gatewayLB está inutilizando a regra, uma vez que você esta dizendo para o pfsense empurrar o trafego para o LB e não para o roteamento padrão.
-
A primeira regra eu arrumei colocando o Pfsense na 443.
Essa do ip 172.18.1.14, é que todos que solicitarem meu ftp externo irem direto para essa máquina com o ip 14.
-
Essa do ip 172.18.1.14, é que todos que solicitarem meu ftp externo irem direto para essa máquina com o ip 14.
ftp externo acessado via lan com regra de balanceamento? parece estranho ??? , mas se estiver funcionando não precisa alterar.
-
se digitar ftp.meuftp.com.br quando chegar no meu firewall ele manda para a máquina 14. Ainda não testei.
-
se digitar ftp.meuftp.com.br quando chegar no meu firewall ele manda para a máquina 14. Ainda não testei.
E não vai funcionar…
O que você está querendo fazer é NAT Port Forwarding. Faça isso pelo menu "Firewall->NAT"!
Abraços!
Jack -
-
src port fica any tambem.
Acho que ainda sim o ftp helper ia ajudar melhor.