Instalación pfSense con o sin routers de fibra
-
A ver puntualizo un poquito más.
Para empezar mis dos conexiones son exactamente iguales (movistar fibra 100/10), he configurado un grupo de gateways con la misma prioridad (tier 1 para ambos) y en trigger level packet loss or high latency, he creado una regla para que el tráfico web como dns salga por el grupo previamente creado, como monitor IP de cada gateway los dns de google y opendns respectivamente.
Tenéis razón con el tema de la descarga, pero viendo por ejemplo algún vídeo en un cliente o cargando una web con muchas imágenes y teniendo el gráfico de tráfico de las dos interfaces observo que el gateway que está por defecto se carga con casi todo el trabajo.
Comentar que tengo corriendo squid+squidguard y la versión de pfSense es la 2.2.1.
-
Ya que lo mencionas bellera, sería interesante lo de dirigir el tráfico de dropbox o googledrive por uno de los dos gateways, en la empresa lo utilizamos bastante.
Cómo se crearía esa regla?
-
Busca/lee acerca de "Policy Routing"
https://doc.pfsense.org/index.php/What_is_policy_routing%3F
Por el foro hay algunos hilos que hablan acerca de ello (generalmente tratan acerca de HTTPS/Bancos), incluso con ejemplos ;)
-
Muchas gracias a los dos.
-
Después de leer los enlaces que me habéis puesto no consigo hacer funcionar el tema.
ptt por mucho que creo una regla que desde cierta ip todo el trafico por cualquier puerto lo dirija al segundo gateway no hay manera (es la primera regla).
Desde el navegador del equipo afectado por la regla voy a la página cualesmiip.com y siempre me da la del otro gateway (que está por defecto), vacío la caché del navegador por si las moscas y nada, puedo probar 10 veces y siempre lo mismo.
-
Comentar que tengo corriendo squid+squidguard y la versión de pfSense es la 2.2.1.
Yo dejaría a pfSense con una sola WAN como cortafuegos y squid+squidGuard.
Dejaría el balanceador tal como está.
No sé cómo está actualmente el tema de squid en MultiWAN pero tiempo atrás era un quebradero de cabeza.
Creo que no hiciste lo que se comentó inicialmente.
Squid (and most other packages) don't understand load balancing, and will just use the WAN connection.
Even on 2.x, where many improvements have been made, there are still issues with getting Squid to properly take advantage of Multi-WAN. Check the forum for the latest developments.
https://doc.pfsense.org/index.php/Troubleshoot_Outbound_Load_Balancing_Issues#Squid_doesn.27t_seem_to_be_using_both_connections
By default, traffic using a proxy such as Squid, HAVP, or Dansguardian will bypass policy routing and use the default route for traffic at all times. It also bypasses expected outbound NAT and leaves via the WAN IP address directly.
It is possible to load balance/failover services from the local firewall such as OpenVPN, DNS requests, and Squid. That is out of the scope of this document, but may be covered elsewhere. Check the forum.
https://doc.pfsense.org/index.php/Multi-WAN#Local_Services
-
por mucho que creo una regla que desde cierta ip todo el trafico por cualquier puerto lo dirija al segundo gateway no hay manera (es la primera regla).
Desde el navegador del equipo afectado por la regla voy a la página cualesmiip.com y siempre me da la del otro gateway (que está por defecto), vacío la caché del navegador por si las moscas y nada, puedo probar 10 veces y siempre lo mismo.
Normal
squid –-> Sale siempre por la puerta por defecto
transparente ---> El tráfico de navegación es redireccionado a squid
5. Modos de trabajo del proxy squid
5.1. No transparente. Los navegadores "conocen" la presencia del proxy. El proxy "sabe" qué URLs se piden, tanto en modo http como en modo https (seguro). En LAN no debe haber reglas que permitan destinos TCP 80, 443 y http alternativos (8000-8100).
5.2. Transparente. Los navegadores "desconocen" la presencia del proxy. El proxy "no sabe" qué URLs se piden en modo https (seguro). La navegación http es enviada automáticamente al proxy. Las reglas en LAN para http carecen de sentido, pues el reenvío es incondicional.
5.3. Transparente con intercepción SSL (SSL Bump). Lo mismo que en modo Transparente (5.2.) pero también para https. Obliga a instalar certificados en los navegadores de los clientes. Necesita squid 3.x.
En squid hay la opción de bypass para NO usar el proxy para determinados destinos. Sería el caso de Dropbox.
-
Perfecto. Muchas gracias bellera.
Volveré al sistema anterior de balanceo. Era por probar, la única forma de aprender algo es trasteando y trasteando… y teniendo foros como este claro.
Tema cerrado y gracias de nuevo.
-
Ok, es un tema recurrente esto de tener a squid en pfSense y quererlo hacer salir por más de una WAN.
Muchas intervenciones en los foros pero nunca he visto una solución definitiva. Si alguien la encuentra…
Lo más reciente que he visto es
\combining pfSense+Squid Proxy+LoadBalancer/Failover will be welcome\ Already Prepared have to publish shortly..
http://www.tecmint.com/how-to-setup-failover-and-load-balancing-in-pfsense/comment-page-1/#comment-492513
Como siempre, vaya.
-
Hola, soy novato por estos foros pero, llevo a mis espaldas este fantástico firewall años.
Yo tengo dos Fibras de Movistar conectadas al pFsense, por supuesto sin router están conectadas directamente a la ONT
Lo primero que hay que hacer es crear en Interfaces: VLAN la vlan6 para la tarjeta de red donde conectaremos nuestra ONT, la ONT de movistar entrega el trafico tageado en la vlan6.
Por último hay que asignar esa nueva red y configurar PPPoE con la configuración estándar de mosvistar
Usuario: adslppp@telefonicanetpa
Password: adslpppy con esto eliminamos el router y solo tenemos la ONT.
-
Como comenta bellera, no hay una solucion que funcione aun de manera eficiente con el tema del proxy y el balanceo.
Lo mejor es dejar el pfsense con el squid+squidguard y poner algo al frente que haga las funciones de balanceo.
Ahora, si el tema es que se quiere que algunas pcs o servicios vayan por un enlace y otras(os) por otro enlace , lo que se podria hacer es usar el balanceador - si es que lo permite - en modo de ruteador y no en modo NAT. de esta manera podriamos recibir las peticiones de la red interna del pfsense con las ips de origen y de esta manera poder hacer el policy routing en el balanceador.
Habria que deshabilitar por lo tanto el NAT en el pfsense y solo hacer ruteo.
Creo que podria funcionar .
Saludos
