FailOver com funcionamento estranho (Resolvido)

Cavalcante · Nov 8, 2016, 10:33 AM

Ola, bom dia!

Sou analista de sistemas, com pouco conhecimento em suporte. Mesmo assim, estou tentando montar um servidor com PFSense, versao 2.3.2-RELEASE-p1 (amd64), para ser nosso firewall (e outros servicos). Ele ja esta configurado e em producao. Nesse momento estou tentando montar um FailOver, sem exito. Por favor, poderia me ajudar?

Tenho na imagem, em anexo, minha configuracao de rede.

Bom… fiz a configuracao do gateway atraves de um manual, mas ao finalizar nao funciona bem.

1. Meu modem secundario fica operando como principal;
2. Quando eu tiro o cabo do modem secundario (Vivo - Tier 2), o sinal eh transferido para o modem principal (NET - Tier 1). Tempo de queda na navegacao eh de 50 segundos. Muito demorado, ne?!? Mas o ping nao cai. Quando volto o cabo, depois de um tempo razoavel, o sinal volta para o modem secundario, sem queda observada.

A opcao Status/Gateway mostra meu gateway principal offline, o que eh estranho... entao li que deveria marcar a opcao "Disable Gateway Monitoring" em System/Routing/Gateway/Edit. Mesmo contrariado marquei e refiz meus testes, sem exito.

1. O meu modem principal passou a ser o padrao;
2. Quando tiro o cabo do principal, a internet cai e nao volta mais. Ping cai. Nao existe o repasse para o secundario. Acho que devido a opcao que marquei, ne?!?

Seguem outras imagens monstrando minha configuracao atual.

Muito obrigado!
![FailOver Mapeamento.png](/public/imported_attachments/1/FailOver Mapeamento.png)
![FailOver Mapeamento.png_thumb](/public/imported_attachments/1/FailOver Mapeamento.png_thumb)

brunok · Oct 28, 2016, 11:09 AM

Algumas operadoras não aceitam payload icmp com valor 0, aí não funciona 100% o Gateway Monitor.

Edite seus gateways, na opção avançada.

"Data Payload" deixe com o valor 1 e salve.

Acompanhe o monitoramento, se resolveu.

Cavalcante · Nov 1, 2016, 10:49 AM

Muito obrigado, brunok.

Bom… vamos la...

Fiz a alteracao que voce me orientou, mas nao tive exito.

Apos alterado o valor do "Data Payload" para os dois gateways, fiz o seguinte teste:

1. Alterei e reiniciei tudo, o Firewall e minha maquina;
2. Minha maquina estava com ip dado pelo modem principal. Vi pela pagina meuip;
3. Deixei um ping para um endereco externo no ar;
4. Entao, tirei o cabo do modem principal;
5. Meu celular, que estava em uma regra para sair pelo modem secundario, continuava funcionando;
6. Minha maquina nao navegava mais;
7. Depois de 3 minutos, sem resposta de sucesso do ping, voltei o cabo do modem principal;
8. Poucos segundos depois, estava navegando na minha maquina.

Voce tem outra dica?

Abraco!

fernandofolha · Nov 2, 2016, 12:34 AM

Sr. Cavalcante,

A não ser que o sr. tenha desenhado seu mapa de rede errado, suas configurações de rede estão incorretas.
WAN1, WAN2 e LAN não podem pertencer a mesma rede, senão ocorreram problemas de roteamento.

Experimente colocar um endereçamento de rede diferente em cada interface WAN e estas diferentes da rede LAN e teste novamente (pode até desfazer a alteração de PAYLOAD).

Reporte aqui o resultado, por favor.

ernanijr · Nov 2, 2016, 6:20 PM

Exatamente como o Fernandofolha disse seu mapa nao pode estar assim por isto que esta tento erros

Cavalcante · Nov 3, 2016, 11:34 AM

Caros amigos fernandofolha e ernanijr, bom dia!

Muito obrigado pelo apoio… vamos la...

Realmente estava bem estranho os modens com ip fixado em 192.168.180.1 e 192.168.180.2. Mas, como estava funcionando a navegacao, acreditava que esses ips de alguma forma eram gerenciados pelo PFSense. Agora, eles foram trocados para 192.168.0.1 (NET - Principal) e 192.168.25.1 (Vivo - Secundario).

Entao, inciei o teste... e nao funcionou. Aconteceu algo estranho...

1. Minha regra estava para FO;
2. Deixei um ping rodando;
3. Estava usando o modem principal (meuip.com);
4. Retirei o cabo do modem principal (Tier 1);
5. Meu ping mostrava erro;
6. A pagina meuip.com nao retornava;
7. Depois de alguns minutos, voltei o cabo;
8. Meu ping voltou;
9. A pagina meuip.com retornou, informando que estava usando o modem secundario (Tier 2). Como assim?!?;
10. Depois de alguns secundos, a pagina meuip.com voltou a mostrar o modem principal (Tier 1);

Para conhecimento, ainda nao voltei o PAYLOAD.

Muito estranho, ne?!? Alguma dica?

hunterjn · Nov 3, 2016, 11:38 AM

Qual a versão do teu PFSense? Pois quando atualizei para a última versão o FailOver e LoadBalancing do meu ambiente de homologação parou de funcionar, funcionava de forma bem estranha. Então mantive tudo na versão 2.3.1 e esta rodando certinho… Se tiveres na última versão experimenta realizar testes com a versão 2.3.1.

hunterjn · Nov 3, 2016, 11:46 AM

Faça o seguinte.. Coloque a versão 2.3.1

Coloque os GW com endereços diferentes entre si e entre a rede interna, exemplo: gw1 192.168.0.1, gw2 192.168.1.1, rede internet 192.168.180.254
Ao fazer isso, crie os grupos de gateway, TIER 1 e TIER 2, como forma de troca coloque "High Latence or Packet Loss".

Dentro de cada gw coloque endereços para o gateway monitor, geralmente utilizo endereços DNS externos de baixo ping.

Feito isso, vai em Firewall > Rules > Lan, nas opções avançadas na regra Default da Lan, coloque como gateway da regra o grupo de gws criado. Após isso, volte no gateway que tu tinha como Default e desmarque a opção "Gateway default", com isso seu FO deve funcionar, testa e me avisa.

Cavalcante · Nov 4, 2016, 10:54 AM

@hunterjn:

Faça o seguinte.. Coloque a versão 2.3.1

Coloque os GW com endereços diferentes entre si e entre a rede interna, exemplo: gw1 192.168.0.1, gw2 192.168.1.1, rede internet 192.168.180.254
Ao fazer isso, crie os grupos de gateway, TIER 1 e TIER 2, como forma de troca coloque "High Latence or Packet Loss".

Dentro de cada gw coloque endereços para o gateway monitor, geralmente utilizo endereços DNS externos de baixo ping.

Feito isso, vai em Firewall > Rules > Lan, nas opções avançadas na regra Default da Lan, coloque como gateway da regra o grupo de gws criado. Após isso, volte no gateway que tu tinha como Default e desmarque a opção "Gateway default", com isso seu FO deve funcionar, testa e me avisa.

Caro hunterjn, muito obrigado e um bom dia!

Estou na versao 2.3.2-RELEASE-p1 (amd64).

Vou tentar seguir sua orientacao e depois lhe falo.

Agora… por favor, uma orientacao.

Tem alguma forma de voltar a versao automaticamente? Ou precisarei fazer de forma manual?

Forma manual a ser seguida:
1. Backup;
2. Formatar a maquina;
3. Instalar a versao 2.3.1;
4. Voltar o backup;

Voce sabe se vou perder alguma funcionalidade, voltando?

hunterjn · Nov 4, 2016, 12:16 PM

Bom dia, infelizmente terá que voltar manual…

Reinstalar pacotes e voltar os backups.
Se reinstalar todos os pacotes certinhos, e o teu backup esteja em dia, não perderá as funcionalidades.

Cavalcante · Nov 4, 2016, 12:31 PM

@hunterjn:

Bom dia, infelizmente terá que voltar manual…

Reinstalar pacotes e voltar os backups.
Se reinstalar todos os pacotes certinhos, e o teu backup esteja em dia, não perderá as funcionalidades.

Prezado hunterjn,

novamente, muito obrigado pelo apoio.

Tava pensando… como estou em producao, trocar a versao pode gerar outros problemas. Entao, decidi fazer um teste com LoadBalance e fiquei, de certa forma, satisfeito.

No inicio, tava pensando:

1. Link principal (30mb) seria usado para nossa rede principal;
2. Link secundario (10mb) seria usado para nossa rede wifi e serviria para a rede principal quando o link principal caisse;

Agora, depois do que aconteceu, vou usar LoadBalance para a rede principal e o wifi ficara apenas com o link secundario.

O que voce acha?

Abraco!

hunterjn · Nov 4, 2016, 1:39 PM

Eu trabalho desta forma também, porem quem acessa o Wifi são somente celulares, nada relacionado ao trabalho, então não precisam ter um link relativamente bom.
Agora tu tem que avaliar, quem acessa teu Wifi? Se o acesso for para nada de importância relativa ao trabalho, acho que podes sim deixar o link2 para o Wifi.

Cavalcante · Nov 8, 2016, 10:33 AM

@hunterjn:

Eu trabalho desta forma também, porem quem acessa o Wifi são somente celulares, nada relacionado ao trabalho, então não precisam ter um link relativamente bom.
Agora tu tem que avaliar, quem acessa teu Wifi? Se o acesso for para nada de importância relativa ao trabalho, acho que podes sim deixar o link2 para o Wifi.

Obrigado. Aqui, tambem, temos apenas acessos secundarios para o wifi.

Beleza! Vou deixar usando mesmo o LoadBalance. Na proxima versao, volto a testar o FailOver.

Muito obrigado!

hunterjn · Nov 8, 2016, 11:00 AM

Certo, qualquer coisa volte a postar.
Abraços.

flavio-knechtel · Nov 17, 2016, 10:05 AM

Bom dia,

Tenho um problema parecido, e o que eu percebi é que nesse caso a rota default apesar de tentar sair pelo ip do link secundário, esta tentando utilizar a interface de rede re0.

Após salvar as configurações da interface correta, a rota assume o valor que deveria acontecer e a internet normaliza.

Alguem tem ideia do que pode ser e como resolver?