Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squid MultiWan (salida hacia internet, outbound traffic)

    Scheduled Pinned Locked Moved Español
    13 Posts 5 Posters 2.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • belleraB
      bellera
      last edited by

      Los servicios que corren localmente en pfSense emplean únicamente la tabla de ruteo. Ello significa que saldrán por la WAN primaria a menos que se definan rutas estáticas para su tráfico. Esto es aplicable sólo para los servicios que inician conexiones hacia internet, tales como dnsmasq (DNS Forwarder) y otros paquetes como Squid (servicio proxy).

      Outbound traffic to the Internet

      All services running locally on pfSense will strictly obey the system's routing table. This means they go out the primary WAN unless static routes are defined that match the traffic. This only applies to services which initiate connections to the Internet, such as the DNS forwarder, and several packages such as squid.

      https://doc.pfsense.org/index.php/Multi-WAN_and_Compatibility#Outbound_traffic_to_the_Internet

      No hay, pues, una manera clara de aprovechar el agrupamiento de puertas usando el servicio de proxy Squid.

      Se recomienda montar dos pfSense. Un primero, dedicado a tareas de cortafuegos y proxy con una sola WAN. Y un segundo dedicado a balancear el tráfico saliente mediante agrupamiento de puertas (varias WAN). Recordar que los pfSense pueden ser físicos o virtuales (virtualbox, vmware…)

      1 Reply Last reply Reply Quote 0
      • belleraB
        bellera
        last edited by

        Mediante las opciones random (a partir de squid 3.2) y  tcp_outgoing_address parece que se puede hacer un balanceo saliente sin failover.

        Sería poner en Custom Options algo como…

        Para dos WAN iguales, 192.168.1.2 y 192.168.2.2

        acl mitad_de_todo random 0.5
        tcp_outgoing_address 192.168.1.2 mitad_de_todo
        tcp_outgoing_address 192.168.2.2
        

        Para tres WAN iguales, 192.168.1.2, 192.168.2.2 y 192.168.3.2

        acl un_tercio_de_todo random 0.33
        acl mitad_dos_tercios_restantes random 0.5
        tcp_outgoing_address 192.168.1.2 un_tercio_de_todo
        tcp_outgoing_address 192.168.2.2 mitad_dos_tercios_restantes
        tcp_outgoing_address 192.168.3.2
        

        No tengo la situación para probarlo. Si alguien se anima que publique resultados. ¡Gracias!

        Sacado de https://forum.pfsense.org/index.php?topic=66822.msg374832#msg374832

        1 Reply Last reply Reply Quote 0
        • gersonofstoneG
          gersonofstone
          last edited by

          Hola Bellera

          lo probe en la version 2.1.5 con el squid3-dev y el squid no cambia la ruta de salida, adicional a eso con las reglas en las LAN  utulizando agrupacion de GW, estoy probando el 2.2.2  con el squid3, apenas termine las pruebas te cuento

          Saludos

          Papu!! :V

          1 Reply Last reply Reply Quote 0
          • belleraB
            bellera
            last edited by

            @bellera:

            Los servicios salen siempre según la tabla de rutas, https://doc.pfsense.org/index.php/Multi-WAN_and_Compatibility#Outbound_traffic_to_the_Internet

            En cambio, el balanceo saliente (agrupamiento de puertas) emplea el filtro route-to del cortafuegos Packet Filter, http://www.openbsd.org/faq/pf/pools.html#outgoing

            PF + Sense = pfSense
            pfSense 2.2 = FreeBSD 10.1 tuneado
            https://www.freebsd.org/doc/en/books/handbook/firewalls-pf.html

            Hubo un tiempo que había una solución por Floating Rules pero no la probé. Aunque llegara a funcionar parece que con 2.1 y 2.2 no funciona, según lo que encontré por ahí, Google squid multiwan floating rules

            1 Reply Last reply Reply Quote 0
            • M
              MichelR
              last edited by

              Hola bellera, he estado probando y parece que la cosa sigue igual, squid manda todo por el gateway por defecto.

              Yo he metido las reglas en la opción Customs ACLS (After_Auth). No sé si esto es correcto.

              Pero he encontrado buscando por internet lo siguiente:

              En servidores con muchas IPs publicas se le puede configurar un proxy para salir con una cualquiera. A continuación veremos como hacerlo con squid:

              Para configurar a que IP escucha las conexiones se especifica mediante http_port:

              http_port 10.10.10.90:6969

              Para indicar que IP use para realizar conexiones hacia el exterior se usa tcp_outgoing_address:

              tcp_outgoing_address 213.21.24.9

              También se puede usar una IP diferente en función del origen del trafico mediante ACLs. Primero se definen los rangos origen:

              acl lusers src 10.1.0.0/16
              acl admins src 10.255.255.0/24

              Y luego se indica según la ACL con que IP va a salir:

              tcp_outgoing_address 213.21.24.7 lusers
              tcp_outgoing_address 213.21.24.8 admins
              tcp_outgoing_address 213.21.24.9

              Debemos tener en cuenta que para los casos que los rangos se solapen va a usar la IP de la primera regla que coincida.

              Si esto funciona por lo menos se podría manda por un gateway ciertas ip's y otras por el otro y aliviar un poco el tráfico.

              1 Reply Last reply Reply Quote 0
              • belleraB
                bellera
                last edited by

                Sí, efectivamente, esa es una solución. Pero pedía que alguien con squid 3.2 como mínimo pruebe con random a fin de hacer balanceo.

                @bellera:

                Mediante las opciones random (a partir de squid 3.2) y  tcp_outgoing_address parece que se puede hacer un balanceo saliente sin failover.

                Sería poner en Custom Options algo como…

                Para dos WAN iguales, 192.168.1.2 y 192.168.2.2

                acl mitad_de_todo random 0.5
                tcp_outgoing_address 192.168.1.2 mitad_de_todo
                tcp_outgoing_address 192.168.2.2
                

                Para tres WAN iguales, 192.168.1.2, 192.168.2.2 y 192.168.3.2

                acl un_tercio_de_todo random 0.33
                acl mitad_dos_tercios_restantes random 0.5
                tcp_outgoing_address 192.168.1.2 un_tercio_de_todo
                tcp_outgoing_address 192.168.2.2 mitad_dos_tercios_restantes
                tcp_outgoing_address 192.168.3.2
                

                No tengo la situación para probarlo. Si alguien se anima que publique resultados. ¡Gracias!

                Sacado de https://forum.pfsense.org/index.php?topic=66822.msg374832#msg374832

                1 Reply Last reply Reply Quote 0
                • M
                  MichelR
                  last edited by

                  Yo he probado con squid 3.2 y las ACL's que nos has dado sin resultado, sigue saliendo todo por el gateway por defecto.

                  1 Reply Last reply Reply Quote 0
                  • belleraB
                    bellera
                    last edited by

                    ¡Lástima!

                    Curioso porque hay posts en la sección en inglés del foro donde dicen que les funciona.

                    Bueno… seguiremos con lo de siempre...

                    @bellera:

                    Se recomienda montar dos pfSense. Un primero, dedicado a tareas de cortafuegos y proxy con una sola WAN. Y un segundo dedicado a balancear el tráfico saliente mediante agrupamiento de puertas (varias WAN). Recordar que los pfSense pueden ser físicos o virtuales (virtualbox, vmware…)

                    1 Reply Last reply Reply Quote 0
                    • gersonofstoneG
                      gersonofstone
                      last edited by

                      Bellera

                      Pasame los link de la pagina que mencionas porfa

                      Papu!! :V

                      1 Reply Last reply Reply Quote 0
                      • belleraB
                        bellera
                        last edited by

                        @bellera:

                        Mediante las opciones random (a partir de squid 3.2) y  tcp_outgoing_address parece que se puede hacer un balanceo saliente sin failover.

                        Sacado de https://forum.pfsense.org/index.php?topic=66822.msg374832#msg374832

                        También Google squid random tcp_outgoing_address

                        1 Reply Last reply Reply Quote 0
                        • M
                          MichelR
                          last edited by

                          He configurado en custom options de proxy server (AfterAuth) la regla siguiente:

                          acl wireless 172.26.1.0/24
                          tcp_outgoing_address 192.168.1.2 wireless

                          Monitoreando con el visor gráfico de pfSense me doy cuenta que sigue saliendo todo el tráfico por el mismo gateway >:( >:( >:(

                          Estoy probando que aun sin poder hacer balanceo con squid y multiwan, por lo menos el tráfico de la red wireless lo encamine por un gateway determinado y no hay forma.

                          O yo hago algo mal o esto no funciona correctamente.

                          1 Reply Last reply Reply Quote 0
                          • R
                            ronal120
                            last edited by

                            A mi si me funciono. https://forum.pfsense.org/index.php?topic=117658.msg651897#msg651897
                            Saludos.

                            1 Reply Last reply Reply Quote 0
                            • A
                              acriollo
                              last edited by

                              Cuales fueron las ACls adicionales que colocaste?

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.