Sobre os problemas com Squid no PFSense 2.1.x
-
Luiz, quando você usa o squid, a console fo pfsense alerta sobre parâmetros de kernel perto do limite?
Estou com squid3-dev em produção(sem openvpn) integrado com captive portal e ad (sem samba ou kerberos) tudo transparente e a performance é melhor que qualquer squid com helpers ntlm ou kerberos.
O Gilmarcabral teve problemas com squid3 - dev+ openvpn por conta do ipv6 mas acho que ele já conseguiu resolver comentando as rotas ipv6.
Concordo que os pacotes não são prioridade para o core team e em algumas vezes vejo que tratam os pacotes como algo que tira a estabilidade da ferramenta. Se está acompanhando o forum internacional, vai ver que o clima está tenso entre a comunidade e os desenvolvedores.
Apesar de saber que você tem conhecimento suficiente para configurar um pfsense me diga como posso te ajudar com o squid3 - dev ja que a versão 2 é pacote "stable" e "mantida" pelo core team.
Hoje uso o pfsense 2.1.2 para rodar o squid3 - dev.
-
LFCavalcanti comecei a configurar um novo servidor com o pfsense 2.1.2 amd64.
Este pfsense irá ter os serviços openvpn, squid3-dev, squidguard, traffic shapper, captive portal, loadbalance, snort.
Por enquanto em testes de lab esta tudo normal mas estou apanhando do filtro do squidguard para consultar usuarios e grupos em base openldap. -
Fala Macelloc!
Vamos lá…
Luiz, quando você usa o squid, a console fo pfsense alerta sobre parâmetros de kernel perto do limite?
Estou com squid3-dev em produção(sem openvpn) integrado com captive portal e ad (sem samba ou kerberos) tudo transparente e a performance é melhor que qualquer squid com helpers ntlm ou kerberos.
O Gilmarcabral teve problemas com squid3 - dev+ openvpn por conta do ipv6 mas acho que ele já conseguiu resolver comentando as rotas ipv6.
Como te disse, a questão de desempenho, pelo que eu testei foi resolvida com a versão 2.1.1, estou testando agora com a 2.1.2, mas como foi um update apenas para resolver o problema com SSL, não deve ter afetado.
Concordo que os pacotes não são prioridade para o core team e em algumas vezes vejo que tratam os pacotes como algo que tira a estabilidade da ferramenta. Se está acompanhando o forum internacional, vai ver que o clima está tenso entre a comunidade e os desenvolvedores.
A palavra tensão é modesta, do jeito que a coisa anda, teremos mais uma Cannonical. Depois que a empresa por trás do PFSense mudou de mãos e de local, parece que o comportamento deles com relação a comunidade mudou muito.
Quantas vezes vi o Jimp negar algo que estava ali descrito e provado no tópico. Ou ainda esbravejar em debates sobre funções, defendendo a lógica de funcionamento de algo, simplesmente porque eles querem assim. Isso tem me desanimado sinceramente.Minha sensação é que caminhamos para o lançamento de uma versão comercial do PFSense, pois vejo muita gente que paga o suporte conseguindo resolver esse Bugs que todos postam. Então se foi resolvido porque não divulgar em algum momento para o resto da comunidade?
Apesar de saber que você tem conhecimento suficiente para configurar um pfsense me diga como posso te ajudar com o squid3 - dev ja que a versão 2 é pacote "stable" e "mantida" pelo core team.
Hoje uso o pfsense 2.1.2 para rodar o squid3 - dev.
Estou usando exatamente essa versão de PFSense e Squid, só que o Squid não consegue "usar" o Grupo de Gateways, então balanceamento de carga entre os ISP não funciona, no máximo Fail Over.
-
LFCavalcanti comecei a configurar um novo servidor com o pfsense 2.1.2 amd64.
Este pfsense irá ter os serviços openvpn, squid3-dev, squidguard, traffic shapper, captive portal, loadbalance, snort.
Por enquanto em testes de lab esta tudo normal mas estou apanhando do filtro do squidguard para consultar usuarios e grupos em base openldap.Olá!
Aquela solução com NTLM e Samba não funciona no 2.1.2?
-
-
Estou usando exatamente essa versão de PFSense e Squid, só que o Squid não consegue "usar" o Grupo de Gateways, então balanceamento de carga entre os ISP não funciona, no máximo Fail Over.
Sobre esta questão, acima utilizo a versão do squid3-dev tanto com loadbalance como Failover.
Um ambiente em produção utilizando o squid3-dev com pfsense 2.1.2 balanceando carga entre os 2 links adsl.
Outro ambiente ambiente ainda em laboratório com squid3-dev com pfsense 2.1.2 em modo failover.Pelo que entendi você esta tendo problemas com este tipo de ambiente?
-
Olá!
Desculpem a demora.
Então gilmarcabral, como você conseguiu configurar o Fail-Over mais Load Balance COM Squid? Quais versões de pacotes, com ou sem regras de flutuação? Interface Groups?
-
Luiz em ambos os casos utilizei o pfsense 2.1.3 com squid3-dev e squidGuard-squid3.
Para utilizar o pfsense 2.1.3 com o squid3-dev (proxy autenticado em openldap) e squidGuard-squid3 em modo Failover fiz o seguinte:
1 - Criei o Grupo de Gateway.
Link1 PrincipalTiear = 1
Link2 Reserva Tiear = 22 - Firewall: NAT: Outbound
Manual Outbound NAT rule generation (AON - Advanced Outbound NAT)
Criei 2 regras any para source nas 2 interfaces que estão os links em Outbound.3 - System: Advanced: Miscellaneous
Use sticky connections
Allow default gateway switching4 - Proxy server: General settings
Integrations
tcp_outgoing_address 127.0.0.1 (antes da regra do squidguard)Para utilizar o pfsense 2.1.3 com o squid3-dev (proxy transparente e squidGuard-squid3 em modo load balance fiz o seguinte:
1 - Criei o Grupo de Gateway.
Link1 Principal Tiear = 2
Link2 Reserva Tiear = 22 - Firewall: NAT: Outbound
Manual Outbound NAT rule generation (AON - Advanced Outbound NAT)
Criei 2 regras any para source nas 2 interfaces que estão os links em Outbound.3 - System: Advanced: Miscellaneous
Use sticky connections
Allow default gateway switching4 - Proxy server: General settings
Integrations
tcp_outgoing_address 127.0.0.1 (antes da regra do squidguard)5 Firewall: Rules
Defini o Gateway das regras o Roteador Load Balance que foi criado indicando os Tiar = 2.Espero ter ajudado.
Duvida posta ai. -
Boa Tarde.
Grande gilmarcabral , no final da sua explicação do LoadBalance, vc pede para setar a interface para a gateway do loadbalance. Porem gostaria de sabe se devo somente setar na interface de Lan ou as interfaces de Wan Tambem?Grato,
w.a.
-
Desculpe não entendi o seu questionamento.
