Load Balancing mit 2.0.1

flix87

bei der 2.0.1 wird das unter Routing -> Groups gemacht hier kannst du die Gateways zusammenfassen.
Also balance oder failover und musst dann noch dem entsprechen Regeln in der Firwall hinterlegen wo du dann sagst welche Regel über welches Gateway bzw Gatewaygruppe rausgeht

lindi200000

Ach da geht das.
Ich habe jetzt eine Gruppe erstellt mit folgenden Sachen:

Group Name: WAN1BalanceWAN2
Gateway Priority: beide auf Tier1
Trigger Level: Packet Loss or High Latancy

Dann habe ich unter Firewall-> Rules -> LAN
Regeln erstellt für z.b: das VPN nur über einen bestimmten GW raus geht und habe dann bei der Default Rule für LAN den Gateway "WAN1BalanceWAN2" eingetragen.

Ich hoffe das ist richtig so oder?
Ist das jetzt gleichzeitig ein Failover? Weil wenn nicht, dann müsste ich ja nochmal 2 Gruppen erstellen, nur wie gebe ich dann die Gateways in der Firewall an?

Gruß Lindi

flix87

ist auch ein failover wenn er den einen nicht belegen kann macht er das auch nicht
sieht man ja unter Status -> Gateways wenn da eins offline ist wird er es nicht belegen

überprüfen kann man das mit http://www.wieistmeineip.de/ da müssten ja dann immer zwei im wechsel auftauchen.

man sollte aber ausnahmen definieren für https z.B. weil es da passieren kann das wenn man die ip wechselt das die session abgeschossen wird (onlinebanking z.B.)
da sollte man noch eine gruppe anlegen die nur failover macht.

Nachtfalke

Hallo,

Alle Gateways mit dem gleichen "Tier" betreiben LoadBalancing. Fällt ein Gateway aus dieser Gruppe weg, arbeiten die letzten verbleibenden in dieser Gruppe weiter. Somit ist es im Idealfall LoadBalancing wenn beide Gateways funktionieren, fällt ein gateway aus entspricht dies automatisch einem Failover. Es ist also nicht mehr notwendifg wie bei pfsense 1.2.3 mehrere Gruppen zu definieren.

Wie flix87 aber richtig gesagt hat, gibt es Protokolle/Anwendungen (https, IPsec), die LoadBalancing nicht so mögen.
Entweder du schaltest jetzt "Sticky Connections" ein um das zu beheben oder aber du erstellst einen alias, in welchem du alle Ports zusammenfasst, die kein LoadBalancing können (443 (hhtps), 4500 (IPsec), 500 (IPsec))
Dann erstellst du ebenfalls eine GatewayGruppe aber mit WAN1 Tier1 und WAN2 Tier2. Und wählst diese Gruppe dann als Gateway für die Firewallregel mit dem definierten Ports.
Somit hast du ein Failover für diese Ports, sollte dein WAN1 down gehen. Diese regel muss aber über der Regel mit deinem WAN1balanceWAN2 stehen :-)

lindi200000

Wo schalte ich denn "Sticky Connections" ein?

Nachtfalke

system -> advanced -> xyz
weiss nicht ganz genau wo dort ;)

lindi200000

Habs gefunden und auch eingestellt.
Scheint für die HTTP Verbindungen relativ gut zu klappen, aber auf manchen Seiten wo man sich einloggen muss gibs Probleme.
Wenn ich da mich einlogge und paar klicks auf der Seite mache, dann werde ich wieder ausgeloggt. Ohne Loadbalancing geht das aber wunderbar.
Die Seite liegt bei all-inkl . Kann es sein das da eine Art Balancer bei denen davor geschallten ist und somit pfsense denkt es ist eine neue Verbindung?

Nachtfalke

Vermutlich nicht. Sticky connections habe einen timer der abläuft, wenn keine Daten mehr kommen.
Manchmal switcht eine Seite auch zwischen http und https. Dann gibt es Probleme.

Ich persönlich nutze Sticky Connections nicht, ich löse das Problem anders:

Ich erstelle eine Gateway Gruppe (LoadBalance) mit Tier1 und
ich erstelle eine Gateway Gruppe (NoLoadBalance) mit Tier 1 und Tier 2

Dann erstelle ich einen Port-Alias. In diesen Alias packe ich alle Ports, die probleme mit LoadBalancing haben, also 443, 500, 4500, 1194, etc. pp.

Dann erstelle ich eine Firewall Regel deren Destination Port meinen Alias beinhaltet und als Gateway meine "NoLoadBalance" Gruppe.
Sämtlichen anderen Verkehr leite ich über die "LoadBalance" Gruppe.

Kommen neue Anwendungen hinzu die bestimmte Ports haben, dann muss ich diese lediglich zum Alias hinzufügen.

Wenn du es nicht alleine mit den Ports Regeln kannst, dann kannst du evtl. noch einen Alias mit Ziel-IPs anlegen und eine dritte Firewallregel erstellen, ähnlich wie die oben beschriebene Regel.

Bei freenet.de ist mir zum Beispiel aufgefallen, dass man sich dort über die internetseite schlecht am E-Mail Postfach anmelden kann (http). Man kann dort aber wählen, dass die Anmeldung über https erfolgen soll. Dann greift meine oben beschriebene Regel und alles wird gut. Man muss also immer mal schauen, an welcher schraube man drehen muss :)

lindi200000

kann man diesen Timer irgendwie setzen?
Es sind halt viele Seiten die da Probleme machen.
Hauptsächlich welche mit Login und ohne https.

Foren z.b.

Nachtfalke

http://forum.pfsense.org/index.php/topic,49054.msg260494.html#msg260494
diesen und den darauf folgenden post lesen und durchführen.

Bernd812

Wie erstelle ich eine Firewallregel mit Aliases und trage es unter "Destination" ein?
Wenn ich bei pfSense 2.0.1 unter Destination "single host or alias" auswähle und in "Adress" die Bezeichnung eintrage, die ich in "Aliases" erstellt habe, dann kommt nach dem abspeichern die Meldung:
"The following input errors were detected: (Aliases Bezeichnung) is not a valid destination IP adress or alias."

Nachtfalke

@Bernd812:

Wie erstelle ich eine Firewallregel mit Aliases und trage es unter "Destination" ein?
Wenn ich bei pfSense 2.0.1 unter Destination "single host or alias" auswähle und in "Adress" die Bezeichnung eintrage, die ich in "Aliases" erstellt habe, dann kommt nach dem abspeichern die Meldung:
"The following input errors were detected: (Aliases Bezeichnung) is not a valid destination IP adress or alias."

Der Alias muss auch den korrekten Wert haben.
Wenn du als Alias also einen Port Alias erstellst, mir poprts, dann kannst du diesen natürlich nicht in der firewall Regel als "Destination IP" eintragen, sondern nur bei Quell- oder Ziel-ports