Configuracion multiwan + balanceo + TS
-
Buenas… Me presento antes que nada ya que este es mi primer post. Vengo leyendo hace un tiempo... :)
Mi nombre es Diego Cancelo y soy de la provincia de Neuquen, Argentina.
Estoy con PfSense hace un par de meses, migre después de dar vueltas por IPCOP, Smoothwall, BrazilFW, Sysland, SequreISP, ZeroShell y algún otro que no recuerde.
Soy usuario de GNU/Linux desde hace unos 12 años, pero poca experiencia con BSD.Tengo instalada la version 2.1-RELEASE en disco rígido de un AMD Athlon con 3 gb de ram y tres interfaces de red (2 WAN y 1 LAN).
WAN_EW (wan) -> vr1 -> v4: 189.28.xxx.xx/28
LAN (lan) -> vr0 -> v4: 192.168.4.1/24 virtual_ip 192.168.0.1/24 virtual_ip 192.168.60.1/24
WAN_OPTIC (opt1) -> re0 -> v4: 10.30.13.23/27La WAN_EW esta conectada a un enlace satelital de 1 mega y la WA_OPTIC a un enlace radial de ancho de banda muy variable, de 1 mega a 4. Es administrado por la provincia y todas las entidades publicas salen por ahí.
Escribo para ver si no estoy errado en mi config.
Yo lo que deseo es utilizar las dos conexión y hacer failover cuando alguna se caiga y ademas balancear las conexiones, para ello configure multiwan de la siguiente forma:multiwan.png
gateways.pngTambién quiero administrar las redes LAN que tengo separadas mediante virtual_ip, se que no es lo optimo, pero estoy por adquirir hard para trabajar con vlan.
virtual_ips.png
Y sobre este punto se me generan dudas. Yo quiero:
- que las ips de mi lan_ew (rango 192.168.60.0/24) utilicen Facebook sobre la WAN_OPTIC
- que todo el otro trafico de la red anterior salga por WAN_EW y que NO salga por WAN_OPTIC
(osea, que salga solo facebook por 1 y todo lo otro por la otra, pero si se cae un GW que salga todo por el otro) - que la red 192.168.0.0/24 use multiwan para balanceo de conexiones
Para ellos configure estas reglas:
rules_lan.png
En el alias ips_ew coloque todas las ips habilitadas de la red 60.0/24 y en ips_facebook la ips correspondientes.
También deseo hacer TS.
Leí:http://www.bellera.cat/josep/pfsense/cas_estudi_cs.html
https://forum.pfsense.org/index.php/topic,46199.msg242230.html#msg242230 (Topic: qACK)
http://www.openbsd.org/faq/pf/es/queueing.html (PF: Gestión del ancho de banda)
https://forum.pfsense.org/index.php/topic,46233.msg242274.html#msg242274 (Topic: Scheduler HFSC, No Maneja Prioridades ???)
https://forum.pfsense.org/index.php?topic=42022.msg217001#msg217001 (Topic: Policy routing avanzado. Ruteo por puertos)
https://forum.pfsense.org/index.php/topic,20382.msg104729.html#msg104729 ( Topic: problemas al abrir paginas de bancos por en balanceador)
https://forum.pfsense.org/index.php?topic=68173.msg372968#msg372968 (Topic: Bunding vs Load balancing)y alguna que otra cosa....
para que vean que trato de hacer mi tarea y leer antes de postearQuiero bloquear todo P2P para red 192.168.60.0/24 y hacer colas para manejar prioridades para la misma red 192.168.60.0/24 y para la 192.168.4.0/24
Acá es donde me surge la duda.
En uno de los link anteriores (caso de estudio) dice:
"Actualmente tiene la limitación que sólo se puede emplear ALTQ entre una de las LAN y una de las WAN del cortafuegos (es decir, ALTQ en pfSense no es multiWAN, pero se está trabajando para que lo sea ...)"Consultas:
¿Es posible realizar TS sobre los dos rangos de redes en la misma LAN? O debo aplicar reglas de firewall para bloquear P2P sobre una red y TS para prioridades sobre la otra?
¿Es acertada la regla de ips_origen a ips_facebook sobre una sola puerta de enlace cuando tengo configurada multiwan?, osea... ¿A pesar de tener multiwan configurada, pueda rutear determinadas ips (fb en este caso) por una puerta de enlace?Muchas gracias por leerme.
Estoy muy entusiasmado con las capacidades de PfSense, me parece muy avanzado comparado lo que he venido usando. Seguiré leyendo y aprendiendo mucho de esta poderosa herramienta.
-
¡Bienvenido!
Desde que escribí http://www.bellera.cat/josep/pfsense/indice.html ha llovido bastante.
Lo más actual que hemos escrito por aquí (sobre Traffic Shaper) es quizás las pruebas que tú mismo referenciaste:
http://forum.pfsense.org/index.php/topic,46233.msg242274.html#msg242274
Actualmente tienes un asistente que prevé varias LANs y varias WANs, por lo que entiendo que debería poder implantarlo sin problemas.
Otra cosa interesante en TS son los limiters,
https://doc.pfsense.org/index.php/Traffic_Shaping_Guide
En general te diría que lo que conviene evitar son instalaciones que manejen a la vez varios de los añadidos típicos a pfSense:
- Proxy
- Balanceo saliente (agrupamiento de puertas)
- Traffic Shaper
- Portal cautivo
Hay combinaciones que son incompatibles entre sí. Entonces lo ideal es pensar en más de un equipo, teniendo en cuenta que los equipos también pueden ser virtuales.
-
Hola Bellera.
Gracias por la data :=)
Voy a leer sobre los limiters antes de implementar el TS.
Sobre instalaciones con varios servicios ya había leído eso, gracias.
Mi idea es solo utilizar firewall, TS y DHCP en mi PfSense como GW.
Proxy con SQUID, DNS y demás, en otras maquinas que tengo virtualizadas pero con OpenVZ sobre Debian.
Vamos a ver que tal me va :)
Saludos.