2 Gateways mit squid ohne Multilan
-
Hallo an Alle,
ich habe 2 Provider und habe 2 Gateways in meiner pfSense eingerichtet. Über Firewall-Rules im Lan-Reiter kann ich Regeln anlegen über welches Gateway bestimmte internen Client-ip's oder Ports laufen. Das funktioniert soweit. Jetzt möchte ich Squid nutzen. Hier wird aber trotz der Lan-Rules immer das Standard-Gateway genutzt.
Daher meine Frage: Gibt es eine Möglichkeit Regel zu setzen, mit denen man bei Squid das Gateway wählen kann? (abhängig von bestimmte internen Client-ip's oder Ports).
Grüße an alle.
-
Hi, ich bin mir zwar nicht sicher, aber das Verhalten ist mit Squid zunächst ok. Traffic, der durch den Squid gehen soll, geht ja praktisch in die pfsense rein und wird dort im Proxy als eigener Traffic der pfsense deklariert und geht somit mangels anderer Routen zum Standardgateway raus. Du mußt also deine FW-Regeln anpassen, nicht den Proxy.
Grß
pfadmin -
Hallo zusammen,
ich würde diesen Punkt gerne noch mal behandeln, denn ich habe das gleiche "Problem".
PFSense in neuster Version (2.3.2-RELEASE-p1), alle Pakete aktuell.
Squid läuft und die pfsense ist bei allen als Standardgateway eingetragen
Ich habe zwei DSL-Zugänge (WAN1GW und WAN2GW), die zu einer Gatewaygroup zusammengefasst sind (GW_Group). Darüber stelle ich Ausfallsicherheit her. WAN1GW ist das "Default Gateway"Ich möchte (wie im ersten Post auch beschrieben), bestimmte Client über WAN1GW und bestimmte über WAN2GW ins Internet lassen.
Ich habe nun eine Firewall-LAN-Regel, die einen bestimmten Client dazu bringen soll, WAN2GW zu nutzen.
Ich sehe unter Firewall–>Rules-->LAN auch, dass die Regel zieht, denn es werden States angezeigt und auch, dass Traffic darüber geht. Die States gehen bis zum Squid :-( und nun bin ich an der Stelle, wie pressakey auch: Der Squid hat ein Standardgateway, das er benutzt.pfadmin empfiehlt, die Firewallregeln anzupassen. Ich weiß aber nicht, was ich dort anders machen könnte. Oder ist es wegen Squid nicht lösbar?
Viele Grüße,
Joe -
Squid ist ein Proxy (Stellvertreter) für Deine LAN Clients. Die Clients "reden" mit dem Squid und der Squid "spricht" für sie mit dem Internet. Dies tut er immer mit einer WAN IP der pfSense. Ich glaube nicht, dass der Squid auf der pfSense je nach Client über ein anderes WAN GW rausgehen könnte. Ob Squid sowas generell unterstützt, müsste man mal in den Man Pages nachlesen.
-
Danke…
Dann ist die Antwort also: habe ich Squid auf der PFSense und nutzen meine Clients diesen Proxy, dann kann ich kein policy based routing für mehrere WAN-zugänge machen.
schade, aber OK.
Danke und Gruß,
Joe -
Jo, leider kann der Squid übrigens Deine Gateway Group auch nicht nuzten:
Local Services
By default, traffic using a proxy such as Squid will bypass policy routing and use the default route for traffic at all times. It also bypasses expected outbound NAT and leaves via the WAN IP address directly.Policy routing traffic from the firewall itself is not currently possible, and as such, load balancing is not possible. Failover can be achieved in many cases by using default gateway switching under System > Advanced on the Miscellaneous tab.
https://doc.pfsense.org/index.php/Multi-WAN
Wozu brauchst Du den Squid denn?
-
Danke für den Quote zu den Local Services. Ist ja wohl eindeutig.
Wozu brauchst Du den Squid denn?
na ja… als Cache und für den Antivirus. Auf den Cache könnte ich verzichten- Aber den Antivirus würde ich schon gerne (zentral auf der Firewall) behalten.
-
Was hast Du denn als Scanner vorgesehen? ClamAV? Taugt kaum für die Wurst, ich habe ihn entsorgt, die Erkennungsleistung ist unterdurchschnittlich und könnte dich in falscher Sicherheit wiegen …
-teddy
-
ja, ClamAV… :(
d.h. Du hast alle Clients (und nur die?) mit einem Scanner versorgt. Oder habe ich auf der PFSense noch andere Möglichkeiten?
-
Hallo,
bin immer noch auf der Suche nach einer Virenscanner-Möglichkeit ohne Squid auf der pfsense (oder sonstwie zentral). Mir gefällt mein Setup (policy based routing für die Clients) gut, möchte aber nicht nur auf den Clients nach Viren suchen.
Hat noch jemand einen Tipp für mich?Danke und Gruß,
Joe
