Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squid MultiWan (salida hacia internet, outbound traffic)

    Scheduled Pinned Locked Moved Español
    13 Posts 5 Posters 2.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • belleraB
      bellera
      last edited by

      @bellera:

      Los servicios salen siempre según la tabla de rutas, https://doc.pfsense.org/index.php/Multi-WAN_and_Compatibility#Outbound_traffic_to_the_Internet

      En cambio, el balanceo saliente (agrupamiento de puertas) emplea el filtro route-to del cortafuegos Packet Filter, http://www.openbsd.org/faq/pf/pools.html#outgoing

      PF + Sense = pfSense
      pfSense 2.2 = FreeBSD 10.1 tuneado
      https://www.freebsd.org/doc/en/books/handbook/firewalls-pf.html

      Hubo un tiempo que había una solución por Floating Rules pero no la probé. Aunque llegara a funcionar parece que con 2.1 y 2.2 no funciona, según lo que encontré por ahí, Google squid multiwan floating rules

      1 Reply Last reply Reply Quote 0
      • M
        MichelR
        last edited by

        Hola bellera, he estado probando y parece que la cosa sigue igual, squid manda todo por el gateway por defecto.

        Yo he metido las reglas en la opción Customs ACLS (After_Auth). No sé si esto es correcto.

        Pero he encontrado buscando por internet lo siguiente:

        En servidores con muchas IPs publicas se le puede configurar un proxy para salir con una cualquiera. A continuación veremos como hacerlo con squid:

        Para configurar a que IP escucha las conexiones se especifica mediante http_port:

        http_port 10.10.10.90:6969

        Para indicar que IP use para realizar conexiones hacia el exterior se usa tcp_outgoing_address:

        tcp_outgoing_address 213.21.24.9

        También se puede usar una IP diferente en función del origen del trafico mediante ACLs. Primero se definen los rangos origen:

        acl lusers src 10.1.0.0/16
        acl admins src 10.255.255.0/24

        Y luego se indica según la ACL con que IP va a salir:

        tcp_outgoing_address 213.21.24.7 lusers
        tcp_outgoing_address 213.21.24.8 admins
        tcp_outgoing_address 213.21.24.9

        Debemos tener en cuenta que para los casos que los rangos se solapen va a usar la IP de la primera regla que coincida.

        Si esto funciona por lo menos se podría manda por un gateway ciertas ip's y otras por el otro y aliviar un poco el tráfico.

        1 Reply Last reply Reply Quote 0
        • belleraB
          bellera
          last edited by

          Sí, efectivamente, esa es una solución. Pero pedía que alguien con squid 3.2 como mínimo pruebe con random a fin de hacer balanceo.

          @bellera:

          Mediante las opciones random (a partir de squid 3.2) y  tcp_outgoing_address parece que se puede hacer un balanceo saliente sin failover.

          Sería poner en Custom Options algo como…

          Para dos WAN iguales, 192.168.1.2 y 192.168.2.2

          acl mitad_de_todo random 0.5
          tcp_outgoing_address 192.168.1.2 mitad_de_todo
          tcp_outgoing_address 192.168.2.2
          

          Para tres WAN iguales, 192.168.1.2, 192.168.2.2 y 192.168.3.2

          acl un_tercio_de_todo random 0.33
          acl mitad_dos_tercios_restantes random 0.5
          tcp_outgoing_address 192.168.1.2 un_tercio_de_todo
          tcp_outgoing_address 192.168.2.2 mitad_dos_tercios_restantes
          tcp_outgoing_address 192.168.3.2
          

          No tengo la situación para probarlo. Si alguien se anima que publique resultados. ¡Gracias!

          Sacado de https://forum.pfsense.org/index.php?topic=66822.msg374832#msg374832

          1 Reply Last reply Reply Quote 0
          • M
            MichelR
            last edited by

            Yo he probado con squid 3.2 y las ACL's que nos has dado sin resultado, sigue saliendo todo por el gateway por defecto.

            1 Reply Last reply Reply Quote 0
            • belleraB
              bellera
              last edited by

              ¡Lástima!

              Curioso porque hay posts en la sección en inglés del foro donde dicen que les funciona.

              Bueno… seguiremos con lo de siempre...

              @bellera:

              Se recomienda montar dos pfSense. Un primero, dedicado a tareas de cortafuegos y proxy con una sola WAN. Y un segundo dedicado a balancear el tráfico saliente mediante agrupamiento de puertas (varias WAN). Recordar que los pfSense pueden ser físicos o virtuales (virtualbox, vmware…)

              1 Reply Last reply Reply Quote 0
              • gersonofstoneG
                gersonofstone
                last edited by

                Bellera

                Pasame los link de la pagina que mencionas porfa

                Papu!! :V

                1 Reply Last reply Reply Quote 0
                • belleraB
                  bellera
                  last edited by

                  @bellera:

                  Mediante las opciones random (a partir de squid 3.2) y  tcp_outgoing_address parece que se puede hacer un balanceo saliente sin failover.

                  Sacado de https://forum.pfsense.org/index.php?topic=66822.msg374832#msg374832

                  También Google squid random tcp_outgoing_address

                  1 Reply Last reply Reply Quote 0
                  • M
                    MichelR
                    last edited by

                    He configurado en custom options de proxy server (AfterAuth) la regla siguiente:

                    acl wireless 172.26.1.0/24
                    tcp_outgoing_address 192.168.1.2 wireless

                    Monitoreando con el visor gráfico de pfSense me doy cuenta que sigue saliendo todo el tráfico por el mismo gateway >:( >:( >:(

                    Estoy probando que aun sin poder hacer balanceo con squid y multiwan, por lo menos el tráfico de la red wireless lo encamine por un gateway determinado y no hay forma.

                    O yo hago algo mal o esto no funciona correctamente.

                    1 Reply Last reply Reply Quote 0
                    • R
                      ronal120
                      last edited by

                      A mi si me funciono. https://forum.pfsense.org/index.php?topic=117658.msg651897#msg651897
                      Saludos.

                      1 Reply Last reply Reply Quote 0
                      • A
                        acriollo
                        last edited by

                        Cuales fueron las ACls adicionales que colocaste?

                        1 Reply Last reply Reply Quote 0
                        • First post
                          Last post
                        Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.