Problemas en configuración con load balance, ipfailover y rules

Lizard99

Hola que tal tengo una implementación de prueba de pfsense desde hace un año en testeo dando servicio a 10 clientes sin ningún problema.

Al pasar a producción me surgieron los siguientes problemas.

Esta implementación es una sub-red nueva que agrega un nuevo enlace para aumentar la calidad del servicio y mayor ancho de banda a los clientes en total alrededor de 200 clientes.

Se configuro  balanceo de carga e ip-failover siguiendo el siguiente tutorial que se encuentra en el foro.

http://www.bellera.cat/josep/pfsense2/Redundancia_y_Balanceo_de_Carga_con_MultiWAN.pdf

Los datos de la red son los siguientes. Red0

red 192.168.1.0/24
gateway 192.168.1.1

Esta red se encuentran los clientes y servidores de esta red. Los clientes son asignados por DHCP y Los servidores de manera fija.

Al crear esta nueva sub-red con pfsense se toman las siguientes configuraciones.

WAN1 192.168.1.65 IP fija de Red0
WAN2 170.xxx.xxx.2 IP fija de Nuevo enlace
OPT    50.50.255.254 IP fija para nueva LAN  Red1

En la nueva LAN corre un servicio de DHCP desde el rango 50.50.3.1 hasta 50.50.3.254 para los clientes. (El DHCP de la Red0 se va a desactivar al pasar a todos los clientes a la nueva red).

Los problemas que surgen son los siguientes.

• Los clientes que se pasan a la Red1  no pueden encontrar el DC que se encuentra en la Red0 , este DC es el servidor de DNS primario y  también comparte un directorio de archivos  que los clientes no pueden encontrar la ruta.

• Aunque se activa el DHCP solo en la interfaz OPT de la Red1 algunos clientes que están en la Red0 toman el DHCP de la Red1, sin tener una conexión directa con la red1, estas estan separadas físicamente  con diferentes swich. Pero en realidad todos los clientes van a ser migrados a la Red1 solo dejando en la anterior las impresoras y servidores.

• Algunas veces el trafico LAN de la Red1 es direccionado a la WAN2 y no se resuelve el destino. Ejemplo quiero acceder a un servidor web con IP 192.168.1.5 y me direcciona a la WAN2.

El entorno que necesitamos es que cuando un cliente solicite una dirección de la red 192.168.1.0/24 se direccione a la WAN1 y todo el trafico hacia internet salga por cualquiera de las dos WAN.

La versión que utilizamos en este momento es la 2.2.1, pero venimos actualizando siempre cuando sale una nueva version en la instancia de prueba.

El hardware que utilizamos es una PC de escritorio con 4 GB de ram 500 gb de disco un procesador 4 nucleos y 3 interfaces de eternet de 1gigabit.

Saludos. Y gracias por alguna recomendación para poner en funcionamiento la implementación.

bellera

red 192.168.1.0/24
gateway 192.168.1.1

WAN1 192.168.1.65 IP fija de Red0

LAN y WAN no pueden estar en el mismo rango. Cada interfase debe tener un rango distinto.

50.50.255.254

No es un rango privado, https://es.wikipedia.org/wiki/Red_privada

Primero de todo mira de cumplir las normas de topología de redes para poder comprobar bien…

acriollo

Podrias pegar las pantallas de tu configuracion de las interfaces y la parte de balanceo y las reglas de cada interface ?

si la solucion estaba funcionando bien durante un año en fase de pruebas. que fue lo qe cambio al pasarse a produccion ?

ptt

Lo que se me ocurre, es que las pruebas las realizó con la version 2.0.x y que luego "haya actualizado" sin tener en cuenta los cambios en el "policy routing"/"reglas automáticas" que se introdujeron a partir de la version 2.1

Pero como comenta el compañero acriollo sin "ver cómo tienes las cosas" es dificil saber.

Sería bueno, tambien, que adjuntes un diagrama/esquema de la red.

Lizard99

Hola adjunto diagrama de red y capturas de configuraciones de Pfsense.

Aclaraciones las capturas están configuradas con la interfaz OPT/LAN con el rango de red publica que va ser cambiada como me recomiendan mas arriba por una privada.Este cambio esta en el diagrama de red que modifique con una red privada a ejemplo 10.0.5.0/24

En donde se presentan los problemas es en el mismo equipo que estaba en prueba, pero al momento de realizar el pasaje a producción se instalo nuevamente la ultima versión y se configuro todo de cero respetando la configuración de prueba, solo cambiando el tipo de red de la interfaz OPT/LAN  antes era 192.168.2.0/24 .
En la etapa de prueba sobre la red 192.168.2.0/24 no estaba habilitado el DHCP y los clientes de testeo tenían IP fijas correspondientes a esta red, lo único que se presentaba es que no era posible hacer ping a ningún lugar fuera de la red 192.168.2.0/24.

Los DNS se tomaban automáticamente, asignados desde el Mikrotik, no se presentaba problema de acceso a el Controlador de dominio ni a ninguno de los servicios de la Red0 192.168.1.0/24.

bellera

No veo nada anormal.

@bellera:

Olvidé comentar que NO esté definida una puerta en la interfase LAN. Es un error frecuente.

ptt

Si estás utilizando 2.1.5 / 2.2.1….. parece ser lo que comenté acerca del "Policy Routing y las reglas automáticas"

Prueba lo siguiente:

En "LAN" crea una Regla "pass" con destino  192.168.1.0/24 y con el GW por Default ( * ) y la colocas por encima de la regla "MultiWAN LoadBalance"

Y de esa forma deberías poder llegar desde un host 10.0.5.x a cualquiera de la  192.168.1.0/24

acriollo

Lo que comenta ptt, tiene sentido , para forzar el trafico que va hacia la red 192.168.x.x se vaya por la interface correcta.

Lizard99

Muchas Gracias por la ayuda.

Otra consulta para que el servidor de dominio pueda dar sus servicios desde la red 192.168.1.0/24 a los clientes en la red 10.0.5.0/24 tengo que crear una regla en la interfaz Wan1 que me permita el paso a la Lan/opt. Me imagino que es así.

Otra duda que tengo es la siguiente, si yo activo el DHCP en la Lan 10.0.5.0/24.
Con la nueva regla creada en la interfaz LAN con acción de  pass, destino a red 192.168.1.0/24 y default gateway.
Algunos clientes de la red 192.168.1.0/24 pueden llegar a toman direcciones de la red 10.0.5.0/24??

Marco esto por que en la prueba que realice, pase algunos clientes a esta nueva red, 10.0.5.0/24, pero algunos que están todavía en la red 192.168.1.0/24, me llegaron a tomar direcciones de la 10.0.5.0/24.

En la etapa de prueba que se realizo por un año, todos los clientes de prueba estaban con ip fija en esta nueva red 10.0.5.0/24

Debería migrar todos los clientes de una sola vez para evitar ese problema??

También necesito desactivar el DHCP de la red 192.168.1.0/24??

Para evitar que los clientes de la red 10.0.5.0/24 tomen direcciones de la red 192.168.1.0/24.

Muchas gracias por las respuestas, espero no ser muy confuso y a la espera de estos puntos para realizar el paso a producción.

ptt

@Lizard99:

Otra duda que tengo es la siguiente, si yo activo el DHCP en la Lan 10.0.5.0/24.
Con la nueva regla creada en la interfaz LAN con acción de  pass, destino a red 192.168.1.0/24 y default gateway.
Algunos clientes de la red 192.168.1.0/24 pueden llegar a toman direcciones de la red 10.0.5.0/24??

No, eso NO va a pasar… aunque tengas la regla "pass" (el tráfico de "Broadcast" no "pasa" de una interface a otra)

En las imágenes adjuntas (mi pfSense de "pruebas") puedes ver, que en la LAN está la regla "Default allow LAN to any rule" (que permite todo desde la LAN) y los clientes de la LAN no "obtienen IP" del DHCP de la interface "W311U" (WLAN)...

Lizard99

muchas gracias por la respuesta. ya esta en prueba y funcionando sin problemas. próximamente voy a pasar a producción.