Squid com problemas usando Load Balance

thiagomespb

Pessoal,

Estou com problemas no squid quando eu uso o load balance.. o mesmo não está funcionado quando o link principal cai.. e o outro assume, não possível navegar com o link secundário.. será necessário fazer alguma configuração extra ??  Na opção está marcado somente LAN e o habilitado proxy transparante..

marcelloc

Você precisa criar uma regra de balanceamento na floating rules para funcionar

breno.uni

Marcello. Boa Noite.

Voce poderia explicar com um passo a passo a criação da regra de load balance? O topico relacionado está um pouco confuso. Creio que isso esteja confundindo alguns colegas. Se tiver como explicar de uma forma detalhada a criação desta regra eu me proponho a fazer um tutorial explicativo dela.

Abraços.

ATT

Breno Alencar

marcelloc

A mesma regra que você criou na lan, você cria na aba floating.

As regras no pfsense são criadas na interface de origem do pacote. O squid, como esta instalado no próprio servidor, inicia suas comunicações pelo localhost.

Estou no telefone agora, quando chegar em casa, mando um screenshot.

breno.uni

Marcello. Aguardo ancioso pela sua resposta. Vamos tentar de uma vez por todas sanar todas as duvidas no que diz respeito a regras e configuração do loadbalance com squid. Eu mesmo tenho algumas duvidas em relação a isso e adoraria poder tirá-las. Vamos tentar colocar todos os passos para a  crição desse tutorial unificado colocando desde a criação do loadbalance e failover, configuração de parametros no squid, criação de regras para bancos e para conexões https, criação de regras para saída determinada de gateway atraves de porta de conexão ou ip de usuário. Enfim, tudo o que tiver gerando duvidas eu me proponho a unir todas eles em um grande tutorial para toda nossa comunidade.

Espero que voce nos ajude. kkkk…com voce nos guiando tenho certeza qu pode sair coisa boa nesse tuto.

Obrigado. NO Aguardo. Abraços

ATT

Breno Alencar

marcelloc

Acredito que este pdf explica detalhadamente o que escrevi.

Se ainda sobrar alguma dúvida, posta aqui  :)

http://securite-ti.com/pfSense_Web_Proxy_with_multi-WAN_links.pdf

breno.uni

Marcello.

Perfeito. Vou traduzir esse tuto e acrescentar mais algumas coisas nele para ajudar o pessoal que por ventura ainda tiver duvidas. Ainda pedindo uma contribuição sua, teria como voce descrever a criação de regras para acesso a bancos por um determinado link? Creio que essa seja uma duvida pertinente a muitos e eu já incluiria no tutorial. Aguardamos sua resposta.

Abraços e um ótimo dia de trabalho a voce.

ATT

Breno Alencar

marcelloc

para restringir o acesso a bancos e determinados sites somente por um link.

modo fácil:

Criar uma regra na LAN com

source LAN NET
destination any
destination port 443
gateway: (gatewayA ou gatewayB ou fail over criado na aba routing)

modo mais detalhado e seguro:

Crie um alias chamado hosts_bancos por exemplo
defina ele com tipo host

adicione todas os hosts de url que voce conhece do banco.
exemplo
www.bb.com.br
www.itau.com.br

caso o banco tenha vários hosts com nomes diferentes para o servico de https( www2,www333,www01)
resolva o ip do site principal

nslookup www.bb.com.br
Non-authoritative answer:
Name:	www.bb.com.br
Address: 170.66.11.10

pesquise o ip encontrado no site whois.registro.br, para encontrar a faixa de ip deste banco

no caso do banco do brasil, a faixa é 170.66/16

crie um segundo alias chamado redes_bancos
defina ele com tipo network
adicione as redes encontradas
170.66.0.0/16

Depois de criar e associar todos os sites nos aliases,

vá em firewall -> rules -> lan  e crie uma regra para cada alias de banco da seguinte forma

Criar uma regra na LAN com

source LAN NET
destination hosts_bancos
destination port 443
gateway: (gatewayA ou gatewayB ou fail over criado na aba routing)

source LAN NET
destination redes_bancos
destination port 443
gateway: (gatewayA ou gatewayB ou fail over criado na aba routing)

LFCavalcanti

Na verdade nem precisa de tudo isso.

Se seu PFSense for o 2.0.0 ou o 2.0.1, basta configurar os Gateways em SYSTEC>ROUTING e depois no mesmo lugar criar um Grupo.

Tutorial em Ingles: http://doc.pfsense.org/index.php/Multi-WAN_2.0
Tutorial em Portugues: http://pontoexe.wordpress.com/2010/11/01/configurando-loadbalance-no-pfsense-2-0/

Depois que fizer o que esta descrito nos tutoriais, va em System> Advanced e clique na aba Miscellaneous, clique na opcao Allow default gateway switching.

Nao esqueca de colocar o Gateway nas regras de saida Firewall, o Squid ira alternar entre as conexoes normalmente, apenas com um lease de 2 a 3 segundos.

breno.uni

Marcello.

Seguindo o tutorial, em Services - Proxy server / General settings, escolhendo LAN e loopback interface a seguinte mensagem de erro ocorre com todas as tentativas de acesso a qualquer página:

ERRO
A URL solicitada não pode ser recuperada

Na tentativa de recuperar a URL:

GET / HTTP/1.1
Host: www.terra.com.br
User-Agent: Mozilla/5.0 (Windows NT 6.0; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: pt-br,pt;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: keep-alive

O seguinte erro foi encontrado:

Requisição inválida.

Alguns aspectos de requisição HTTP são invalidos. Possíveis causas:

Método desconhecido ou faltando (GET, POST)
    Faltou a URL
    Faltou o identificador HTTP (HTTP/1.0)
    A requisição pode ser muito grande
    Hostname com caracter inválido; não é permitido o uso de underscores

Se eu tirar a interface LoopBack a páginas voltam ao normal. O que poderia tá errado?

Abraços…

ATT

Breno Alencar

marcelloc

Qual tutorial você esta seguindo? O seu ou um dos que foi postado?

Você esta usando proxy transparente ou marcado no browser?

breno.uni

Marcello:

A - Segui o tutorial:

http://securite-ti.com/pfSense_Web_Proxy_with_multi-WAN_links.pdf

Usando PFSense:

2.0.1-RELEASE (i386)
built on Mon Dec 12 18:24:17 EST 2011

B - Pacotes:

Squid + SquidGuard + HAPV

C - 2 Links de Internet:

1 - OI ( OPT1 ) ADSL
2 - Embratel ( WAN ) Link Dedicado Frame Relay

Em System: Advanced: Miscellaneous - As opções:

• Use sticky connections
• Allow default gateway switching

Estão Marcadas.

Se precisar de mais algum detalhe estou a disposição.

ATT

Breno Alencar

marcelloc

Onde está o havp nesta hierarquia de proxy?

breno.uni

Marcello. Sinceramente não entendi sua pergunta.

Desculpas.

ATT

Breno Alencar

mantunespb

Galera,

Bom dia, tambem seguir a risca os passos do tutorial - Tutorial em Ingles: http://doc.pfsense.org/index.php/Multi-WAN_2.0
o Loab Balance Funcionou até Instalar o Squid em modo transparente, que acusou o mesmo erro do colega acima

ERRO
A URL solicitada não pode ser recuperada

Na tentativa de recuperar a URL:

GET / HTTP/1.1
Host: www.terra.com.br
User-Agent: Mozilla/5.0 (Windows NT 6.0; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: pt-br,pt;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: keep-alive

O seguinte erro foi encontrado:

Requisição inválida.

Alguns aspectos de requisição HTTP são invalidos. Possíveis causas:

Método desconhecido ou faltando (GET, POST)
    Faltou a URL
    Faltou o identificador HTTP (HTTP/1.0)
    A requisição pode ser muito grande
    Hostname com caracter inválido; não é permitido o uso de underscores

O que será que falta ??

marcelloc

@breno.uni:

Marcello. Sinceramente não entendi sua pergunta.

Como você integrou o pacote havp com o squid?

O havp é parent do squid ou é ele quem esta funcionando em modo transparente?

breno.uni

Marcello. O HAVP estava como parent do squid. Mas para dar continuidade ao nosso tópico sem mudar de direção acabei desistalando o HAPV para que o tópico fique somente relativo ao loadbalance + squid.

Mas um colega no tópico relata um erro igual ao meu usando o squid em modo transparente com loadbalance.

Ficamos no aguardo de suas orientações.

Abraços

ATT

Breno Alencar

marcelloc

Ficamos no aguardo de suas orientações.

Não fui eu que fiz o tutorial, apenas o indiquei para ilustar como criar as regras na "floating rules"  :)

Vou tentar seguir os passos para ver onde para, mas não tenho este ambiente aqui em casa, pode demorar um pouco.

Tente ver o que pode estar errado comparando este tutorial de squid.

att,
Marcello Coutinho

thiagomespb

Marcelo,

Vc pode simular o ambiente usando virtual box e tres placas virtuais, eu mesmo simulei aqui em casa, só que usando uma maquina física que tenho para teste, coloquei os dois links, um com ip fixo e outro com dhcp e seguir o tutorial.. e tambem apresentou o mesmo erro dos demais colegas, somente o uso do squid.

pode q pode ter aalgo errado ai..

mantunespb

Galera,

aparece que o negocio é mais serio que eu imaginava.

http://forum.pfsense.org/index.php?topic=37083.45

E fica duvida.. será que funciona mesmo o Balanceamento de Carga+Failover+squid ?? Já tentei de tudo, inclusive
adicionado uma regra de DNS 53 em FloatingRules e não funcionou..