SQUID + FailOver ou SQUID + gateway pré definido
-
Boa Tarde, Srs.
Alguem aqui conseguiu fazer funcionar o squid com failover, só que da seguinte forma:
FailOverX = wanA (tier 1) + wanB (tier 2)
redeX + redeY saindo pelo FailOverXFailOverZ = wanB (tier 1) + wanA (tier 1)
redeC + redeD saindo pelo FailOverZsegui diversos tutoriais, usei o squid 2.7, squid 3.0 e nada, se eu removo o squid e uso apenas o firewall (pfsense) as regras do firewall funcionam numa boa, porém é só ativar o squid com a tag "tcp_outgoing_address 127.0.0.1" (para que o squid controle as saidas) e pronto as regras de firewall param, alguem tem uma luz?
abs -
porém é só ativar o squid com a tag "tcp_outgoing_address 127.0.0.1" (para que o squid controle as saidas) e pronto as regras de firewall param, alguem tem uma luz?
Você não consegue via firewall controlar a saída do cliente x ou y via squid. Para o firewall está tudo com 127.0.0.1
A única alternativa com o squid no próprio firewall é criar acls na mão e associar ao seu tcp_outgoing_address. Porém contudo todavia,neste caso você força um link mas fica sem fail over.
Uma alternativa seria passar o squid para outra(s) máquina(s)* e usar as regras de firewall que você já tem na lan.- um proxy para cada rede ou o tcp_outgoing_address para cada faixa de rede.
att,
Marcello Coutinho -
Puts, um proxy para cada rede? eu tenho 6 ou 7 redes (ips virtuais)… teria que ter 1 servidor para cada?
Marcelo já ia esquecendo: muito obrigado, vc manja muito do pfsense, parabens pela sua ajuda neste projeto.
-
Puts, um proxy para cada rede? eu tenho 6 ou 7 redes (ips virtuais)… teria que ter 1 servidor para cada?
Um proxy para cada configuração de saída. você descreveu duas, então dois proxies.
Marcelo já ia esquecendo: muito obrigado, vc manja muito do pfsense, parabens pela sua ajuda neste projeto.
Valeu! :)
-
Duvida: como subir um proxy para cada configuração de saida? tem algum tutorial para isso, pode me passar o caminho das pedras?
Duvida (off-topic): tb sou desenvolvedor e gostaria de contribuir de alguma forma com o projeto, pode me passar o caminho das pedras?
-
Duvida: como subir um proxy para cada configuração de saida? tem algum tutorial para isso, pode me passar o caminho das pedras?
O melhor é subir estes proxies fora do firewall. Neste caso, outro pfsense ou linux.
Para subir mais de um daemon de squid na mesma máquina, você vai precisar criar dois arquivos de configuração e alguns outros diretorios.
Um documento que pode te ajudar.
http://wiki.squid-cache.org/MultipleInstancesDuvida (off-topic): tb sou desenvolvedor e gostaria de contribuir de alguma forma com o projeto, pode me passar o caminho das pedras?
Claro. o pfsense usa o git como repositório.
documentos iniciais
http://doc.pfsense.org/index.php/Creating_Your_Own_Package_Repository
http://doc.pfsense.org/index.php/Developing_Packages -
Velinho, muito obrigado, vou fazer os testes.
abs. -
Olá!
Desculpem a intromissão no tópico, mas tenho um cliente com cenário bem parecido. Criei dois grupos de Gateways, cada um com uma conexão sendo a primária, com Squid não transparente e autenticação funciona que é uma beleza…
-
mas com redes internas saindo por determinado LB?
-
Uso regras de Firewall nas interfaces para apontar o trafego para o grupo de gateways que eu quiser.
É preciso criar regras de Floating, de uma olhada no tópico de tutoriais de configuração do PFSense aqui mesmo no fórum.
-
com Squid não transparente e autenticação funciona que é uma beleza…
Com o squid no pfsense, como você "desmisturou" os acessos do Failover A e B?
-
Eu apenas configurei as regras de Floating como normalmente se faz.
Clientes A - usam a Internet 1 como primária, no grupo A
Clientes B - usam a internet 2 como primária, no grupo B -
Eu apenas configurei as regras de Floating como normalmente se faz.
Clientes A - usam a Internet 1 como primária, no grupo A
Clientes B - usam a internet 2 como primária, no grupo BPois é, sem proxy fica 100% mas quando o tráfego entra no squid, o ips de clientes A e B passam a sair com o ip do squid(127.0.0.1 se o tcp_outgoing_address estiver configurado no squid).
-
Até onde eu testei, se o Squid encaminhar no cabeçalho do pacote o ip original, sem problemas, cai no roteamento e sai pelos grupos.
-
Mas então você não esta usando o tcp_outgoing_address??
-
Até onde eu testei, se o Squid encaminhar no cabeçalho do pacote o ip original, sem problemas, cai no roteamento e sai pelos grupos.
Novidade pra mim, consegue testar isso neste ambiente? e compatilhar qualquer opção extra que você tenha configurado no squid para isso funcionar?
-
Até onde eu testei, se o Squid encaminhar no cabeçalho do pacote o ip original, sem problemas, cai no roteamento e sai pelos grupos.
Novidade pra mim, consegue testar isso neste ambiente? e compatilhar qualquer opção extra que você tenha configurado no squid para isso funcionar?
Olá!
Eu tenho um cliente com duas conexões(MetroIP e PPPoE), com quatro vou precisar simular em laboratório aqui.
Hoje não vai dar tempo, até quarta eu posto(Quarta é feriado nacional aqui no Brasil, para os Portugues que frequantam o fórum)
-
peguei o bonde andando..
tem algum erro com "tcp_outgoing_address 127.0.0.1" ? para uma rede e dois links ? ou somente
para duas redes e dois links ? -
Então mantunespb, vamos a um exemplo para vc entender o problema (que é fato do squid):
1º LB com 2 ou mais links
2º LB com outros 2 linksSair uma REDE por 1 LB
Sair outra REDE pelo outro LBQuando se instala o squid na mesma maquina onde esta o "router" o squid não obedece a regra, a não ser que vc faça na mão e determine apenas 1 link de saida para cada gateway, perdendo assim o LB, entendeu?
-
Quando se instala o squid na mesma maquina onde esta o "router" o squid não obedece a regra,
Acho que um termo melhor seria não bate na regra, já que a regra foi feita para rede A ou B, no lugar de 127.0.0.1
