Balanceo de Cargas con MultiWAN en pfSense

IGM82

28-feb-2013. Estaba dentro del hilo http://forum.pfsense.org/index.php/topic,56591.0.html
Se separa (split topic) por tratar sólo MultiWan con agrupamiento de puertas (balanceo saliente)

Hola!
Estoy siguiendo el manual porque necesito implementar un escenario similar, pero en mi caso no hay conexión entre la LAN y la WAN2. No he querido seguir porque supongo que esto debería funcionar antes de continuar con el grupo de gatways.

Actualmente la LAN está funcionando con WAN1. Desde la LAN no es posible hacer ping a la Gateway de la WAN2.
_Ping output:
PING 192.168.0.10 (192.168.0.10) from 192.168.1.1: 56 data bytes

–- 192.168.0.10 ping statistics ---
3 packets transmitted, 0 packets received, 100.0% packet loss_

¿Hay que hacer algo adicional al configurar la WAN2 a parte de la interfaz y la gateway? O debería ser así y hasta que no ponga el grupo de gateways no funcionará? Puede ser por un tema de reglas?

¡Gracias de antemano!

bellera

Por favor, rangos de cada interfase. Tú sabes qué tienes entre manos, nosotros no.

Y reglas en LAN.

IGM82

Gracias por tu respuesta bellera,
Así es cómo lo tengo puesto:

WAN1(/28) 212.145.144.193 <–---> 212.145.144.195 [LAN(/24) 192.168.1.1 pfsense] 192.168.0.1 <–---> 192.168.0.10 WAN2(/16)
Donde 212.145.144.193 y 192.168.0.10 son las gateways de ambos routers

Reglas en LAN:
v                                   * * * LAN Address 443    * * Anti-Lockout Rule
                                                                        80
                                                                        22
x * EasyRuleBlockHostsLAN * * * * none   Easy Rule: Blocked from Firewall Log View
v * ADMIN * * * * none   ADMIN -> Any
v TCP/UDP LAN net * * Puertos_general * none   Bloquear tráfico excepto puertos comunes
v TCP HOSTS_OPOFVF * * PUERTOS_OPOFVF * none

Con WAN1 funciona perfectamente todo
¡Muchas gracias!

bellera

WAN1(/28) 212.145.144.193 <–---> 212.145.144.195 [LAN(/24) 192.168.1.1 pfsense] 192.168.0.1 <–---> 192.168.0.10 WAN2(/16)
Donde 212.145.144.193 y 192.168.0.10 son las gateways de ambos routers

¿Es esto?

LAN 192.168.1.1/24
WAN 212.145.144.195/28
WAN2 192.168.0.1/16

Si es esto, tienes mal la topología pues 192.168.0.1/16 abarca 192.168.0.0 - 192.168.255.255

http://www.subnet-calculator.com/cidr.php

Estás con un enrutador. Cada subred debe ser distinta, sin solapamientos.

A parte de esto es aconsejable hagas policy rounting para ir hacia la subred de cada WAN.

Esto se hace simplemente con reglas en LAN indicando que si el destino es la subred de la WAN se salga por su GW.

http://forum.pfsense.org/index.php/topic,45034.msg234632.html#msg234632
http://forum.pfsense.org/index.php?action=dlattach;topic=45034.0;attach=20107;image

IGM82

Perfecto, era la topología de la WAN2. ¡Muchas gracias!

En cuanto al policy routing, es necesario poner reglas por cada WAN si se va a hacer balanceo de carga y redundancia como explica éste tutorial?

Lo he hecho así no obstante y no funciona. Ni balancea (solo WAN1 y LAN muestran tráfico), ni hace redundancia (cuando apago WAN1 no hay tráfico alguno)

¡Gracias!

bellera

A ver si, ADMIN es tu equipo de administración desde el que haces pruebas, esto no lo tienes bien.

Las reglas se ejecutan según orden. Sería algo así:

• ADMIN * WAN net * WANGW none [Administracion equipos en WAN]
• ADMIN * WANFO net * WANFOGW none [Administracion equipos en WANFO]
  TCP ADMIN * *  443 FAILOVER none [HTTPS no se balancea]
• ADMIN * * * MULTIWAN none [A internet de forma libre y balanceado]
  TCP LAN net * *  443 FAILOVER none [HTTPS no se balancea]
  TCP/UDP LAN net * * puertos_permitidos MULTIWAN none [A internet solo servicios admitidos y balanceado]

Si el agrupamiento de puertas no funciona correctamente entonces es que las IPs monitorizadas tienen algún problema. O no no contestan a ping o no están en la ruta correcta.

[Status] [Gateways]
[Status] [Routes]

Y el policy routing dicho es sólo para llegar a los equipos. Puedes quitarlo/desactivarlo si no te interesa o te confunde.

IGM82

OK Gracias, entiendo el razonamiento de las reglas. ADMIN es la IP de mi equipo, pero para cuando lo implante definitivamente. Ahora estoy usando otro equipo para probar con otra IP diferente, así que no debería ser eso. De todos modos para evitar líos, he deshabilitado las reglas referentes a ADMIN.
He dejado las dos últimas que pones referentes al tráfico general, de todos modos sigue sin haber tráfico/navegación a traves WANFO.

Si que es verdad una cosa: No tengo DNS ni DHCP configurado (en el entorno final, los DC's funcionarán con estos servicios).
En el equipo donde estoy probando, he puesto IP fija y ambas DNS también aunque da igual cual ponga. Siempre va a salir por la primera WAN

Gracias por tu ayuda.

bellera

[Status] [Gateways]
[Status] [Routes]

?

Probablemente tu problema es que la ip de monitorización de WANFO no te esté yendo bien. Pon una IP alternativa de monitoreo para esa puerta.

Puedes usar uno de los DNS públicos de Google, que contesta a ping (no tiene nada que ver con el hecho de que sean servidores DNS, tienen que ser IPs que contesten a ping).

https://developers.google.com/speed/public-dns/

IGM82

Hola,
Siguiendo con esto a la carga, esto es lo que tengo en Status>Gateways

Name                 Gateway   Monitor         RTT         Loss         Status Description
WANGW         212.x.x.193   212.x.x.193 0.814ms 0.0%         Online WANGateway
WANFOGW         192.168.2.1   192.168.2.1 0.352ms 0.0%         Online WANFOGateway

En Status> Routes no tengo nada, pero si en Status> Groups que tengo la Multiwan configurada y luego posteriormente asociada a la regla de salida a Inet.

Cabe señalar que la primera interfaz WAN es de una red pública con rango público
La segunda interfaz WAN es Fibra Óptica de Telefónica y tiene IP fija.
Las pruebas me dicen que ambas WAN generan tráfico y son capaces de salir a Inet pero a la hora de hacer speedtest.net solo hace uso de la primera WAN

Probaré a poner una ip pública de google, aunque las pruebas de ping que he hecho me dan ok
Gracias otra vez!

bellera

Por favor, sube "fotos" de la configuración de tu grupo de gateways.

IGM82

Ahi va

bellera

Parece correcto… pero...

Yo cambiaría la IP de monitorización de Telefónica por la fija que te dieron. De esta forma harás ping al lado público del enrutador de fibra y no al privado.

En Status> Routes no tengo nada

?

En [Diagnostics][Routes] deberías ver si la monitorización se enruta correctamente. Sube "foto" de rutas si no lo ves claro.

Ve a una página web de las que da la ip desde la que te conectas y refresca varias veces, a ver si ves el cambio de ip.

Si sigues sin funcionar sube "foto" de tus reglas en LAN.