Probleme de Multiwan
-
Je n'utilise pas de route par défaut.
J'ai créé 2 groupes, 1 avec WAN1 en tier1 et WAN2 en tier2, puis un second groupe avec l'inverse.
Dans les règles, pour chaque type de trafic que je souhaite gérer, je définis une passerelle en prenant l'un ou l'autre des groupes (par exemple, le SMTP sort en priorité par le WAN1 et en cas de problème par le WAN2, alors que le http est l'inverse).Du coup, si je coupe un des accés (par exemple WAN2), le trafic http va passer par le WAN1 après une dizaine de seconde d'attente.
Au retour de WAN2, le trafic reprends normalement.Je mettrai des screenshots dès que je pourrais …
-
Pour ma part je n'ai que trois type de traffic que je gère par le parefeu :
- HTTP
- HTTPS
- MSN
Je vais donc doubler les règles et les adapter pour avoir d'un coté le trafic HTTP et de l'autre le reste.
Je vais essayer de faire comme toi.
Je reposte dès que j'ai fini mes tests.Encore merci.
-
Alors, je viens de tester.
Pour résumer :
Création de deux passerelles group :- Wan1FailoverWan2 avec WAN1GW en Tier 1 et WAN2GW en Tier 2
- Wan2FailoverWan1 avec WAN1GW en Tier 2 et WAN2GW en Tier 1
Ensuite création des règles dans cet ordre :
- 80 (HTTP) passerelle : Wan1FailoverWan2
- 443 (HTTPS) passerelle : Wan2FailoverWan1
- 1863 (MSN) passerelle : Wan2FailoverWan1
- 80 (HTTP) passerelle : Wan2FailoverWan1
- 443 (HTTPS) passerelle : Wan1FailoverWan2
- 1863 (MSN) passerelle : Wan1FailoverWan2
Ensuite, quand je teste, oui en effet ça fonctionne (un grand merci à toi).
Mais… des fois ça ne fonctionne plus et j'ai maintenant j'ai un nouveau problème...
On dirait que j'ai des problème avec les gateway quand elles passent d'offline à online et le contraire...En effet, de temps en temps, quand je simule une panne sur une des box, la panne est détectée, mais quand je rebranche, le statut de ma connexion reste en offline...
D'où cette nouvelle série de questions :
1- Dans System/Routing/Gateways/ comment as-tu choisi ton adresse IP de monitoring? Perso j'ai pris une des adresses de DNS...
2- Toujours dans System/Routing/Gateways/ as-tu coché "Disable Gateway Monitoring" et as-tu renseigné les champs d' "Advanced"?
3- Dans System/Routing/Groups/ qu'as-tu pris pour le "Trigger Level"?
4- Dans System/Advanced/Miscellaneous as-tu coché "Use sticky connections", "Allow default gateway switching" ou "Gateway Monitoring"Boudiou, ça en fait des questions!
Merci d'avance! -
Tu n'as pas besoin de doubler les règles…
Dans le cas que tu indique, lors d'une connexion HTTP, tu utiliseras toujours la première règle.
Le firewall ne vas pas tester si le lien fonctionne ou pas, tu as une règle qui indique que le HTTP DOIT passer par le groupe Wan1FailoverWan2, le trafic sera envoyé sur ce groupe. Si les liens ne fonctionnent pas, tu seras bloqué mais tu n'ira pas chercher les règles suivantes.
De plus, elles sont sans intérêt …
Le seul intérêt d'avoir un groupe inversé par rapport au premier est pour diriger, par défaut, certains flux sur un lien plutôt qu'un autre.
Par exemple, chez moi, le trafic VPN sortant passe par défaut par un lien ADSL alors que le trafic HTTP passe par défaut par un lien radio.
En cas de défaillance d'un des lien, ça bascule automatiquement sur l'autre. Mes règles sont de ce type:- HTTP -> Wan1failWan2
- VPN -> Wan2failWan1
(c'est pour reprendre ton exemple ;))
Pour les autres questions, je te dirai ce que j'ai mis ... plus tard, je suis pas sur site là ... -
Ah ok…
Oui en effet, je viens de comprendre.J'attends la suite de tes infos avec impatience...
-
1- Dans System/Routing/Gateways/ comment as-tu choisi ton adresse IP de monitoring? Perso j'ai pris une des adresses de DNS…
Oui, j'ai mis les DNS de Free, à savoir 212.27.53.252 pour le lien ADSL et 212.27.53.253 pour le lien radio.
En fait, sur une freebox en mode bridge, tu peux laisser par défaut puisque tu pingue le DSLAM. Donc, si tu liaison est coupée (box éteinte, cable arraché dans la rue, réveil soudain de dinosaures…), tu n'as plus accès au DSLAM et ta liaison est vue coupée. Cependant, si la coupure est plus loin sur le réseau, ça te donnera rien. C'est pour cela que je pingue les DNS.
Pour une liaison avec un routeur NAT au milieu (freebox en routeur ou autres *box), le ping par défaut sera la box. Si la liaison est coupée mais que la box est allumée, tu sauras jamais que ta liaison est HS.
En résumé, oui,utiliser une adresse de monitoring qui soit les DNS de ton fournisseurs ou ceux de Google par exemple, est une bonne chose...2- Toujours dans System/Routing/Gateways/ as-tu coché "Disable Gateway Monitoring" et as-tu renseigné les champs d' "Advanced"?
Non, tu ne coche pas "disable gateway monitoring", sinon ta liaison sera toujours vue active et tu ne basculera jamais…
Dans "Advanced", j'ai laissé par défaut et j'ai juste ajouté "Down" à 10 secondes et "Frequency probe" à 3 pour un ping de test toutes les 3 secondes...3- Dans System/Routing/Groups/ qu'as-tu pris pour le "Trigger Level"?
J'ai mis "Packet loss"
4- Dans System/Advanced/Miscellaneous as-tu coché "Use sticky connections", "Allow default gateway switching" ou "Gateway Monitoring"
Non, j'ai rien activé à cet endroit …
-
Bon j'ai suivi tes conseil au poil de c** de dinosaure près!
Apparemment tout fonctionne correctement.
Je vais pousser les tests plus loin cet aprem.Sinon encore deux questions…
1 - As-tu déjà essayé de répartir la charge HTTP:80 sur tes deux liens en même temps en mettant un nouveau groupe dont les deux "Tiers" ont la même valeur?
2 - Pour les logs, as-tu monté un serveur syslog? En effet, je voudrais garder environ 6 mois d'historique mais dans pfSense les journaux sont moins bien détaillés que sur IpCop... -
2 - Pour les logs, as-tu monté un serveur syslog? En effet, je voudrais garder environ 6 mois d'historique
http://fr.splunk.com/ . J'ai testé Graylog2 hélas pas stable.
-
Je suis sur un disque dur de 16 Go, ça devrait suffire ;D ;D
-
Bon, ma plateforme à l'air de fonctionner.
Encore merci!!
