En Multiwan, no actualiza la ruta por defecto cuando cae un interface
-
Buenos días,
He esto mirando por el foro y he visto algunos reportes de problemas parecidos pero en versiones muy antiguas.
El hecho es que actualmente tengo instalada la última versión 2.0.2-RELEASE y tengo el problema que paso a comentar:
Tengo 3 interfaces, 2 interfaces WAN y uno LAN.
Cada interface WAN está con un operador distinto, por lo que lo llamaré WANop1 y WANop2. Tengo configurada cada interface correctamente con su IP fija y cursando tráfico sin problema.
He creado un grupo de gateway asignando a cada conexión un valor para que esté una levantada respecto otra y he configurado también las condiciones para cuando una linea cae levante la otra, etc..A nivel de Firewall he redireccionado las peticiones que entren por WANop1 y WANop2 de los puertos que me interesan, a la IP privada del servidor que quiero tener siempre con acceso a internet.
El problema está, en que en la tabla de rutas, PFsense para como ruta por defecto la salida del gateway de WANop1. Hasta ahí correcto, pero el problema es que cuando tiro ese interface y debería entrar el otro en failover, borra la ruta por defecto anterior.. pero no crea una nueva poniendo el gateway WANop2, por lo que automáticamente el servidor se queda sin salida a internet.
Todo lo demás está correctamente configurado porque he hecho captura de paquetes y veo las peticiones llegar desde internet al servidor, el problema está en la vuelta (del servidor a internet) ya que PFsense no tiene ruta por defecto y no sabe hacia donde redirigir los paquetes.
¿Alguien sabe como solucionar esto o si se solucionará en breve?
Como dije arriba había visto problemas parecidos en versiones de 2011 pero entiendo que en la versión que tengo que es la última debería estar solucionado.
Muchas gracias por todo.
Un saludo,
Traxto
-
A ver, si tienes un servicio publicado en internet tienes que asegurar que tanto entrada como salida vayan siempre por el mismo enlace.
Para la entrada (acceso desde internet al servicio) NAT Port Forward y su regla asociada en la WAN correspondiente hacen el trabajo.
Para la salida tienes que poner una regla en LAN para origen el servidor indicando la puerta que emplea.
Y, evidentemente, si cae el enlace ni pueden entrar desde internet ni puede (el servidor) salir.
Caso de necesitar redundancia en el servicio hay otros escenarios (balanceo entrante o CARP)
-
Buenos días,
creo que no me he explicado bien.
Los dos enlaces funcionan correctamente por separado y de hecho, marcando en la parte de interfaces que sea el default gateway puedo balancear manualmente entre una salida y otra.
El problema reside cuando quiero que esto lo haga automático PFsense. Para hacerlo automático, PFsense te permite configurar cuando quieres que se pase de un gateway a otro, por ejemplo por packet loss, high latency etc… en la parte de crear el grupo de gateways.
El problema, es que en las rutas que maneja PFsense, pone como ruta por defecto, es decir la 0.0.0.0 el gateway que está marcado como Tier1 y eso es correcto, siempre que ese enlace esté activo, pero cuando se cumple la condición, por ejemplo packet loss, para cambiar al otro gateway del grupo de gateways, la ruta por defecto desaparece y no crea una nueva para el otro gateway, por lo que los paquetes no pueden salir.
Quizá hay alguna manera de indicarle a PFsense que la ruta por defecto sea el grupo de gateways para que así, el que esté disponible envíe la información, pero si no es así, los paquetes nunca podrán salir sin ruta por defecto.
No sé si me he explicado ahora mejor.
Muchas gracias por contestar.
Un saludo,
Traxto
-
Es que si empleas un grupo de puertas tienes que meterlo (como puerta) en todas las reglas que supongan salida a internet.
Así de fácil. Arriba, en Documentación, hay enlaces donde se habla del balanceo/failover saliente (agrupamiento de puertas) -
Buenos días,
El problema no son las reglas del Firewall. En efecto como tu dices… tengo puesto en las reglas del firewall que todo el tráfico de la LAN salga por el grupo de gateways que yo llamo BALANCEADO.
Eso es así y está correcto, pero voy a intentar explicarme mejor.
IPv4
Destination Gateway Flags Refs Use Mtu Netif Expire
default 91.126.221.33 UGS 0 412 1500 bge0
8.8.4.4 91.126.221.33 UGHS 0 73630 1500 bge0
8.8.8.8 85.152.50.126 UGHS 0 75739 1500 bge1
10.100.0.0/16 link#1 U 0 7964 1500 em0
10.100.0.105 link#1 UHS 0 0 16384 lo0
85.152.50.0/25 link#3 U 0 0 1500 bge1
85.152.50.9 link#3 UHS 0 0 16384 lo0
91.126.221.32/27 link#2 U 0 0 1500 bge0
91.126.221.50 link#2 UHS 0 0 16384 lo0
127.0.0.1 link#7 UH 0 47 16384 lo0
212.89.0.31 85.152.50.126 UGHS 0 34 1500 bge1Esta es la tabla de rutas funcionando todo correctamente.
Como se puede ver.. hay una ruta por defecto al gateway 91.126.221.33 que corresponde con el interface WANop1. Y tengo la WANop2 con la puerta de enlace 85.152.50.126 pero que no es ruta por defecto porque todavía está activa la anterior en el grupo de gateways.
Si por lo que sea, el interface WANop1 se cae, evidentemente la ruta por defecto desaparece, pero al estar en el grupo de gateways marcada como tier2 la de WANop2 debería crear la ruta por defecto con el gateway 85.152.50.126 y no lo hace. Deja la tabla de rutas sin ruta por defecto, por lo que no sabe por donde sacar el tráfico.
El problema no es el firewall, si no el comportamiento de los grupos de gateway.
Gracias por responder.
Un saludo,
Traxto
-
Buenas Tardes,
¿alguna novedad?
He seguido la documentación que indicabas e incluso poniendolo como balanceada… cuando se cae el gateway por defecto... no crea otra ruta por defecto por el otro interface que está en el grupo de interfaces.
No sé, quizá no me estoy explicando bien.... ¿Qué capturas de pantalla necesitaríais para tener más claro el problema?
Muchas gracias.
Un saludo,
Traxto
-
Hola. Puede que te sirva en tu caso la opción "Allow default gateway switching" que se encuentra en –> System:Advanced:Miscellaneous.
A mi también me paso algo similar con versiones anteriores, es por eso que en algunos topics del foro en portugués sugerían "no" utilizar un Default Gateway y proponían en cambio utilizar grupos de failovers en caso de falla en la conexion de las líneas que formaban el Multiwan. Actualmente mi escenario es un tanto diferente al tuyo ya que utilizo multiwan pero de conexiones Pppoe y te puedo asegurar que funciona muy bien el intercambio de los gateways cuando se cae alguna linea (siempre con opción activada que mencione al principio).Saludos
-
Buenas Shadow25
La verdad es que esa opción también la tenía activada pero no funcionaba.
Finalmente la desactivé y dejé las cosas de la siguiente manera… pero lo único que conseguí es tener tráfico de salida en el servidor (10.100.0.83) independientemente de la WAN que está levantada... pero solo consigo tráfico de entrada por la WAN... no por la WAN2.
Mis interfaces son todos con IP estática ya que es loq ue me proporcionan mis ISP.
Dejo adjuntas algunas imagenes para que se pueda ver la configuración.
Yo creo que algo tengo que estar haciendo mal porque el funcionamiento de failover que intento hacer es sumamente sencillo y por lo que he leído en el foro de pfsense .... hay gente que lo tiene funcionando... no sé como es que a mi no me funciona.
Escribir la tabla de rutas no es algo tan complicado y PFsense debería hacerlo sin problemas.
Si alguien tiene alguna solución o algo que se le ocurra que pueda probar, por favor, que me lo diga porque creo que ya he probado de todo.
![GW OPT1.jpg](/public/imported_attachments/1/GW OPT1.jpg)
![GW OPT1.jpg_thumb](/public/imported_attachments/1/GW OPT1.jpg_thumb)
![GW WAN.jpg](/public/imported_attachments/1/GW WAN.jpg)
![GW WAN.jpg_thumb](/public/imported_attachments/1/GW WAN.jpg_thumb)
![GW Group.jpg](/public/imported_attachments/1/GW Group.jpg)
![GW Group.jpg_thumb](/public/imported_attachments/1/GW Group.jpg_thumb)
![NAT (port forwarding).jpg](/public/imported_attachments/1/NAT (port forwarding).jpg)
![NAT (port forwarding).jpg_thumb](/public/imported_attachments/1/NAT (port forwarding).jpg_thumb) -
El resto de los archivos de mi configuración
Un saludo,
Traxto
![LAN Rules.jpg](/public/imported_attachments/1/LAN Rules.jpg)
![LAN Rules.jpg_thumb](/public/imported_attachments/1/LAN Rules.jpg_thumb)
![WAN Rules.jpg](/public/imported_attachments/1/WAN Rules.jpg)
![WAN Rules.jpg_thumb](/public/imported_attachments/1/WAN Rules.jpg_thumb)
![WAN2 Rules.jpg](/public/imported_attachments/1/WAN2 Rules.jpg)
![WAN2 Rules.jpg_thumb](/public/imported_attachments/1/WAN2 Rules.jpg_thumb)
![Routing table 1.jpg](/public/imported_attachments/1/Routing table 1.jpg)
![Routing table 1.jpg_thumb](/public/imported_attachments/1/Routing table 1.jpg_thumb)
![Routing Table 2.jpg](/public/imported_attachments/1/Routing Table 2.jpg)
![Routing Table 2.jpg_thumb](/public/imported_attachments/1/Routing Table 2.jpg_thumb)