Squid com problemas usando Load Balance
-
Marcello. Boa Noite.
Voce poderia explicar com um passo a passo a criação da regra de load balance? O topico relacionado está um pouco confuso. Creio que isso esteja confundindo alguns colegas. Se tiver como explicar de uma forma detalhada a criação desta regra eu me proponho a fazer um tutorial explicativo dela.
Abraços.
ATT
Breno Alencar
-
A mesma regra que você criou na lan, você cria na aba floating.
As regras no pfsense são criadas na interface de origem do pacote. O squid, como esta instalado no próprio servidor, inicia suas comunicações pelo localhost.
Estou no telefone agora, quando chegar em casa, mando um screenshot.
-
Marcello. Aguardo ancioso pela sua resposta. Vamos tentar de uma vez por todas sanar todas as duvidas no que diz respeito a regras e configuração do loadbalance com squid. Eu mesmo tenho algumas duvidas em relação a isso e adoraria poder tirá-las. Vamos tentar colocar todos os passos para a crição desse tutorial unificado colocando desde a criação do loadbalance e failover, configuração de parametros no squid, criação de regras para bancos e para conexões https, criação de regras para saída determinada de gateway atraves de porta de conexão ou ip de usuário. Enfim, tudo o que tiver gerando duvidas eu me proponho a unir todas eles em um grande tutorial para toda nossa comunidade.
Espero que voce nos ajude. kkkk…com voce nos guiando tenho certeza qu pode sair coisa boa nesse tuto.
Obrigado. NO Aguardo. Abraços
ATT
Breno Alencar
-
Acredito que este pdf explica detalhadamente o que escrevi.
Se ainda sobrar alguma dúvida, posta aqui :)
http://securite-ti.com/pfSense_Web_Proxy_with_multi-WAN_links.pdf
-
Marcello.
Perfeito. Vou traduzir esse tuto e acrescentar mais algumas coisas nele para ajudar o pessoal que por ventura ainda tiver duvidas. Ainda pedindo uma contribuição sua, teria como voce descrever a criação de regras para acesso a bancos por um determinado link? Creio que essa seja uma duvida pertinente a muitos e eu já incluiria no tutorial. Aguardamos sua resposta.
Abraços e um ótimo dia de trabalho a voce.
ATT
Breno Alencar
-
para restringir o acesso a bancos e determinados sites somente por um link.
modo fácil:
Criar uma regra na LAN com
source LAN NET
destination any
destination port 443
gateway: (gatewayA ou gatewayB ou fail over criado na aba routing)modo mais detalhado e seguro:
Crie um alias chamado hosts_bancos por exemplo
defina ele com tipo hostadicione todas os hosts de url que voce conhece do banco.
exemplo
www.bb.com.br
www.itau.com.brcaso o banco tenha vários hosts com nomes diferentes para o servico de https( www2,www333,www01)
resolva o ip do site principalnslookup www.bb.com.br Non-authoritative answer: Name: www.bb.com.br Address: 170.66.11.10
pesquise o ip encontrado no site whois.registro.br, para encontrar a faixa de ip deste banco
no caso do banco do brasil, a faixa é 170.66/16
crie um segundo alias chamado redes_bancos
defina ele com tipo network
adicione as redes encontradas
170.66.0.0/16Depois de criar e associar todos os sites nos aliases,
vá em firewall -> rules -> lan e crie uma regra para cada alias de banco da seguinte forma
Criar uma regra na LAN com
source LAN NET
destination hosts_bancos
destination port 443
gateway: (gatewayA ou gatewayB ou fail over criado na aba routing)source LAN NET
destination redes_bancos
destination port 443
gateway: (gatewayA ou gatewayB ou fail over criado na aba routing) -
Na verdade nem precisa de tudo isso.
Se seu PFSense for o 2.0.0 ou o 2.0.1, basta configurar os Gateways em SYSTEC>ROUTING e depois no mesmo lugar criar um Grupo.
Tutorial em Ingles: http://doc.pfsense.org/index.php/Multi-WAN_2.0
Tutorial em Portugues: http://pontoexe.wordpress.com/2010/11/01/configurando-loadbalance-no-pfsense-2-0/Depois que fizer o que esta descrito nos tutoriais, va em System> Advanced e clique na aba Miscellaneous, clique na opcao Allow default gateway switching.
Nao esqueca de colocar o Gateway nas regras de saida Firewall, o Squid ira alternar entre as conexoes normalmente, apenas com um lease de 2 a 3 segundos.
-
Marcello.
Seguindo o tutorial, em Services - Proxy server / General settings, escolhendo LAN e loopback interface a seguinte mensagem de erro ocorre com todas as tentativas de acesso a qualquer página:
ERRO
A URL solicitada não pode ser recuperadaNa tentativa de recuperar a URL:
GET / HTTP/1.1
Host: www.terra.com.br
User-Agent: Mozilla/5.0 (Windows NT 6.0; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: pt-br,pt;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: keep-aliveO seguinte erro foi encontrado:
Requisição inválida.
Alguns aspectos de requisição HTTP são invalidos. Possíveis causas:
Método desconhecido ou faltando (GET, POST)
Faltou a URL
Faltou o identificador HTTP (HTTP/1.0)
A requisição pode ser muito grande
Hostname com caracter inválido; não é permitido o uso de underscoresSe eu tirar a interface LoopBack a páginas voltam ao normal. O que poderia tá errado?
Abraços…
ATT
Breno Alencar
-
Qual tutorial você esta seguindo? O seu ou um dos que foi postado?
Você esta usando proxy transparente ou marcado no browser?
-
Marcello:
A - Segui o tutorial:
http://securite-ti.com/pfSense_Web_Proxy_with_multi-WAN_links.pdf
Usando PFSense:
2.0.1-RELEASE (i386)
built on Mon Dec 12 18:24:17 EST 2011B - Pacotes:
Squid + SquidGuard + HAPV
C - 2 Links de Internet:
1 - OI ( OPT1 ) ADSL
2 - Embratel ( WAN ) Link Dedicado Frame RelayEm System: Advanced: Miscellaneous - As opções:
- Use sticky connections
- Allow default gateway switching
Estão Marcadas.
Se precisar de mais algum detalhe estou a disposição.
ATT
Breno Alencar
-
Onde está o havp nesta hierarquia de proxy?
-
Marcello. Sinceramente não entendi sua pergunta.
Desculpas.
ATT
Breno Alencar
-
Galera,
Bom dia, tambem seguir a risca os passos do tutorial - Tutorial em Ingles: http://doc.pfsense.org/index.php/Multi-WAN_2.0
o Loab Balance Funcionou até Instalar o Squid em modo transparente, que acusou o mesmo erro do colega acimaERRO
A URL solicitada não pode ser recuperadaNa tentativa de recuperar a URL:
GET / HTTP/1.1
Host: www.terra.com.br
User-Agent: Mozilla/5.0 (Windows NT 6.0; WOW64; rv:9.0.1) Gecko/20100101 Firefox/9.0.1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,/;q=0.8
Accept-Language: pt-br,pt;q=0.8,en-us;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Connection: keep-aliveO seguinte erro foi encontrado:
Requisição inválida.
Alguns aspectos de requisição HTTP são invalidos. Possíveis causas:
Método desconhecido ou faltando (GET, POST)
Faltou a URL
Faltou o identificador HTTP (HTTP/1.0)
A requisição pode ser muito grande
Hostname com caracter inválido; não é permitido o uso de underscoresO que será que falta ??
-
Marcello. Sinceramente não entendi sua pergunta.
Como você integrou o pacote havp com o squid?
O havp é parent do squid ou é ele quem esta funcionando em modo transparente?
-
Marcello. O HAVP estava como parent do squid. Mas para dar continuidade ao nosso tópico sem mudar de direção acabei desistalando o HAPV para que o tópico fique somente relativo ao loadbalance + squid.
Mas um colega no tópico relata um erro igual ao meu usando o squid em modo transparente com loadbalance.
Ficamos no aguardo de suas orientações.
Abraços
ATT
Breno Alencar
-
Ficamos no aguardo de suas orientações.
Não fui eu que fiz o tutorial, apenas o indiquei para ilustar como criar as regras na "floating rules" :)
Vou tentar seguir os passos para ver onde para, mas não tenho este ambiente aqui em casa, pode demorar um pouco.
Tente ver o que pode estar errado comparando este tutorial de squid.
att,
Marcello Coutinho -
Marcelo,
Vc pode simular o ambiente usando virtual box e tres placas virtuais, eu mesmo simulei aqui em casa, só que usando uma maquina física que tenho para teste, coloquei os dois links, um com ip fixo e outro com dhcp e seguir o tutorial.. e tambem apresentou o mesmo erro dos demais colegas, somente o uso do squid.
pode q pode ter aalgo errado ai..
-
Galera,
aparece que o negocio é mais serio que eu imaginava.
http://forum.pfsense.org/index.php?topic=37083.45
E fica duvida.. será que funciona mesmo o Balanceamento de Carga+Failover+squid ?? Já tentei de tudo, inclusive
adicionado uma regra de DNS 53 em FloatingRules e não funcionou.. -
você configurou estes passos?
After manually adding my subnet in the "Allowed subnets" box, my dual wan, squid setup is now functioning using pfSense Version 2.0-Release (i386)
but as the Ermal said, just putting the "tcp_outgoing_address 127.0.0.1" worked for me.
-
Marcelo,
a segunda opção sim.. porem a primeira onde fica essa configuração.
Eu só espero não ter que mudar para outra distribuição.. já sai do endian para pfsense justamente
por isso.