Direcionamento de trafego - Load Balance com 2 WAN's
-
Vamos lá, vou descrever em detalhes todo o processo para alguém me ajudar a identificar o erro:
Tenho 3 interfaces: LAN, WAN1 e WAN2
CONFIGURAÇÃO DO FAILOVER
- Criei 2 grupos de Gateways:
Nome do Grupo: LB01
- WAN1 (Tier1)
- WAN2 (Tier2)
Trigger Level: MEMBER DOWN
Nome do Grupo: LB02
- WAN1 (Tier2)
- WAN2 (Tier1)
Trigger Level: MEMBER DOWN
- Alterei a regra padrão de firewall da LAN:
- inclui o grupo LB01 como Gateway da LAN
- Ativei as duas opções de Load Balancing em System: Advanced: Miscellaneous
- Use sticky connections
- Allow default gateway switching
Aqui sempre tive UMA DÚVIDA em relação aos DNS's. Qual é a configuração correta a se deixar, neste ambiente que estou descrevendo? Segue abaixo minha configuração DNS atual:
CONFIGURAÇÃO DO DIRECIONAMENTO DE TRÁFEGO
- Criei um ALIAS chamado Link_Secundario com os IP's das máquinas que quero que saiam pelo segundo link
- Criei uma regra de firewall na LAN direcionando o tráfego originado deste ALIAS para o grupo de gateways LB02, lembrando que acrescentei esta regra ANTES da regra padrão da LAN, que direciona o tráfego para o grupo LB01
Até aqui tudo FUNCIONA PERFEITAMENTE, exatamente como preciso, ou seja, os IP's que estão no ALIAS saem para a Internet pela WAN2 e o restante dos clientes saem pela WAN1, e em ambos existe o FAILOVER.
O problema começa quando instalo o Squid.
CONFIGURAÇÃO DO SQUID
-
Instalei somente o pacote SQUID versão 2.7.9 pkg v.4.3.1
-
Configurações:
- Proxy interface: somente a LAN
- Proxy Transparente: ATIVADO
- Log habilitado em /var/squid/log
- Proxy Port: 3128
- Em Custom Options foi incluído tcp_outgoing_address 127.0.0.1
Após a instalação do SQUID, o meu redirecionamento de tráfego para de funcionar. Todos os clientes, inclusive os que estão no ALIAS, saem pela WAN1.
Alguém consegue me ajudar a resolver esta incompatibilidade do SQUID com Redirecionamento de Tráfego?
Grato.
-
Escolha o DNS saindo pelos GW.. aqui no meu funciona
coloquei quatro DNS, dois saindo por um GWavisa depois se deu certo !!!
-
Não deu certo amigo, o DNS não é o problema… é alguma incompatibilidade ou má configuração do SQUID. :-\
-
O problema não é o squid. Você colocou proxy e balanceamento na mesma maquina.
Depois que o tráfego chega no squid, o ponto de saída é único via lo0 no lugar de opt1,lan,etc.Muda o desenho da rede ou define um único método de balanceamento.
-
Marcello, por favor me corrija se estiver errado, mas não entendi sua resposta pois tenho um failover com direcionamento de tráfego que funciona muito bem até eu instalar o proxy (squid), que é para controle de acesso à Internet. Quando desinstalo o SQUID todo o ambiente passa a funcionar normalmente, quando instalo e habilito o mesmo, o direcionamento para de funcionar!
Obrigado. -
Vou tentar explicar melhor então:
Quando você não usa o squid, o firewall recebe o pacote direto da estação. Neste caso você consegue balancear de acordo com o ip de origem e interface.
Quando você usa o squid, todas as estações mandam as requisições para o squid buscar. Neste caso você tem um único host com ip de origem (127.0.0.1) o que impossibilita mais de uma regra de balanceamento.
Não é limitação do squid mas sim do design da sua rede.
Um squid em cada segmento de rede recebendo o trafego e enviando para o balanceador seria a solução para o que você precisa.
Ficou claro agora? ???
-
Opa, agora entendi sim!!! Mas então o problema só ocorre se eu usar o proxy transparente, que é neste caso que ele fica capturando todos os pacotes das estações, certo!? E não existe alguma configuração no PFSENSE que eu consiga "burlar" este problema e fazer funcionar o balanceamento junto do proxy na mesma máquina? Ví alguns tópicos que o pessoal fala pra usar a opção tcp_outgoing_address 127.0.0.1 no Proxy, mas não consegui fazer funcionar ainda. :-\
-
E não existe alguma configuração no PFSENSE que eu consiga "burlar" este problema e fazer funcionar o balanceamento junto do proxy na mesma máquina?
Da forma que você quer, não.
Esta situação vai acontecer com qualquer configuração de proxy (transparente ou não)
-
Aproveitando,
e se usar um segundo equipamento (físico ou virtualizando), e setar o novo proxy na opção de Upstream do Squid, funcionaria o Failover/Load Balance?
-
Resumindo para não esticar muito este tópico
Um squid em cada segmento de rede recebendo o trafego e enviando para o balanceador seria a solução para o que você precisa.
-
Ainda pesquisando encontrei muitos tópicos que dizem que o FAILOVER funciona com o Squid, só o balanceamento que não, e muitos dizem ter o ambiente funcionando desta maneira (com Failover). Só não consegui encontrar o passo a passo das configurações para o PFSense 2.0.1. :-[
-
Ainda pesquisando encontrei muitos tópicos que dizem que o FAILOVER funciona com o Squid, só o balanceamento que não
No pfsense, a diferença entre failover e load balance esta somente na definição do grupo de roteamento, o resto da configuração é exatamente igual.
-
Uso balanceamento e funciona, porem não é proxy transparente.
-
Uso balanceamento e funciona, porem não é proxy transparente.
Usando Floating?
Estamos estudando em como vamos aplicar o proxy aqui, transparente ou não e sem mexer com os grupos de failover, que são três para cada rede. -
Não usei nenhuma regra floating
em system–> gateways não está marcado nenhum "Default Gateway"
em groups todos estão "Tier 1" e a opção "Packet Loss e High Latency"
no squid..
Proxy interface"LAN"
e não habilitado "Transparent proxy"opção
tcp_outgoing_address 127.0.0.1;redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf;redirector_bypass on;redirect_children 3