LoadBalance e FailOver utilizando Squid Autenticado no pfsense 2.03

gilmarcabral · Aug 31, 2013, 2:31 PM

Bom dia.
Galera alguém tem implementado FailOver no pfsense 2.03 com squid3?
O FailOver esta funcionando de forma correta porem quando o link principal cai e o secundário entra simplesmente o squid Autenticado não navega.
Usei algums manuais da web para ver o que pode ser mas sem sucesso.
Os manuais informa que para o squid funcionar tenho que fazer 5 passo.
1 - Use sticky connections e Allow default gateway switching Marcados.
2 - Na Aba Floating Criei 3 regras usando as 2 Interfaces Wan1 e Wan2 com Directon out Protocol TCP/UDP e Source any Alterando somente o Destination Port onde uma ficou na porta 80 outra na 443 e outra na 53.
3 - Criei 2 Outbound uma Wan1 e outra para Wan2
4 - Utilizei este parametro tcp_outgoing_address 127.0.0.1
5 - Tando a Interface Wan1 como a Wan2 estão sem GW e no routing o Default Gw esta na Wan1.

Vi muito na internet um ambiente destes funcionando mas somente versão 2.0 e 2.01 com a versao 2.03 não vi nada sobre.
Interessante que outras conexões o Failover funciona normalmente somente o squid q esta dando isso.
Desde já agradeço

lgcosta · Aug 31, 2013, 3:15 PM

quando o link cai e o squid para, o dns (resolução de nome) dentro do pfsense funciona certinho ? o gateway padrão do pfsense troca certinho ? (de acordo com a opção Allow default gateway switching)

Verifique se o dns configurado no pfsense não esta atrelado a um unico gateway

gilmarcabral · Aug 31, 2013, 3:33 PM

Boa tarde.
Luiz desde já agradeço sua ajuda.
Na aba System: General Setup a opção DNS servers esta o ip do meu servidor bind interno que e 192.168.1.33 com o Use gateway None.
E a opção Do not use the DNS Forwarder as a DNS server for the firewall esta marcada.
Analisando o log do squid eu vejo os logs dos usuarios tentando acessar as urls.
Penso que a troca ocorre normalmente pois as conexões que não são http e nem https consegue sair da lan normalmente.
Desde já agradeço

lgcosta · Aug 31, 2013, 3:35 PM

Quando isso ocorrer, verifique se a saida do Pfsense continua normal, veja se o gateway padrão foi trocado corretamente.

Na console o em "Diagnotics -> Command Prompt", digite:

Para ver a saida de internet:


ping -c3 8.8.8.8

ele vai tentar fazer 3 ping's no dns do google (externo)

Para ver qual gateway é o padrão:


netstat -anr

Esse comando vai listar suas rotas, a primeira linha deve ser o seu gateway padrão (rota para 0.0.0.0)

gilmarcabral · Aug 31, 2013, 3:50 PM

Luiz obrigado novamente.
Fiz o teste que vc me informou.
Olha que interessante.
Quando removi o cabo da wan1 deixando somente a wan2 ele deixou o GW o ip 192.168.1.33, este ip é o meu load balance de aplicações tomcat.

default 192.168.1.32 UGS 0 935664 bce1

lgcosta · Aug 31, 2013, 3:53 PM

@gilmarcabral:

Luiz obrigado novamente.
Fiz o teste que vc me informou.
Olha que interessante.
Quando removi o cabo da wan1 deixando somente a wan2 ele deixou o GW o ip 192.168.1.33, este ip é o meu load balance de aplicações tomcat.

default 192.168.1.32 UGS 0 935664 bce1

Então tem alguma coisa errada nas suas configurações de gateway (System > Routing)

gilmarcabral · Aug 31, 2013, 4:39 PM

Ta ocorrendo algo muito estranho.
Removi o GW e rota no System: Gateways ai ele sempre vai pegando o proxy GW como default.
Exemplo.
Quando cai o link principal quem fica como Gatway é o ip 192.168.1.32 que tem uma roda para a rede 10.0.0.0/24 usando este host (192.168.1.32)
Então removi.
Quando removi e fiz o teste novamente do ping e analisando o comando netstat -an ele setou como Gatway o host 192.168.1.1 que q outra rota então removi ele tambem ai ele setou como Gatway o ip da minha rede wirelles.

gilmarcabral · Sep 1, 2013, 4:22 PM

Uma duvida.
Para o Failover funcionar a maneira correta e não utilizar GW nas interfaces WAN1 e WAN2?
Deixo somente o GW default na aba routers?
Desde já agradeço

lgcosta · Sep 2, 2013, 1:59 PM

Isso na verdade é a mesma coisa, a configuração de gateway na tela da interface é um atalho para a de roteamento.

Você deve possuir um gateway para cada saida WAN.

gilmarcabral · Sep 2, 2013, 4:35 PM

Luiz Gustavo obrigado.
O problema era porque algum motivo o pfsense estava utilizando a sequência de roteador que esta defenido no System -> Gateways.
Exemplo.
Na aba Gateway eu tinha primeiro o roteador da WAN defenido como default. em seguida eu tinha uma outro gateway para outra rede e posteriormente tinha outro gateway para outra rede.
O Gateway para a WAN2 estava sendo o ultimo.
Então removi os outros Gateway deixando somente o Gateway da Wan1 e da Wan2 e posteiormente voltei os demais gatweway para outras redes.
Desta forma funcionou perfeitamente.
Nem precisei defenir configuração na aba floating para o squid funcionar e tambem não foi necessario na rules escolher o gateway default o do Failover pois quando cai o primeiro link o Failover já defenie o Gateway que ficou como default.
Agradeço ajuda.