[Resolvido] - PROBLEMAS DE CONFIGURAÇÃO COM CARP + DYNAMIC DNS
-
Ola meus amigos,
estou recorrendo ao FORUM por já não ter mais o que fazer com relação a um problema que enfrento com minhas configurações no PFSENSE.
Eu tenho o seguinte cenário implementado na empresa que trabalho:Explicando o cenário:
Temos 2 links:
Link 1 GVT
Link 2 HorizonsComo podemos ver, temos um balanceamento de links Internet e um FAILOVER de firewall. Além disso, roda na WAN2 uma VPN ponto-a-ponto entre matriz e filial, que não está representada no gráfico.
Antes de criar o FAILOVER de firewall a VPN e acesso Internet estavam estáveis. Funcionava tudo perfeito, inclusive com balanceamento de link e manobra da VPN. Apos criar o segundo firewall e implementar o FAILOVER a VPN passou a se comportar estranhamente. Funcionando durante alguns segundos, uns 30 por exemplo e depois trava… ficando uns 30 segundos parados e novamente voltando, ficando nesse ciclo indefinidamente. Para interromper esse processo foi preciso desconectar as interfaces WAN1 e WAN2 do servidor PF-2 no VMWARE. Quando são desabilitadas esse ciclo de interrompe, voltando a ficar estável.Pela analise que fiz, o problema parece estar com o Dynamic DNS, pois para o balancemaneto de link e manobra da VPN é utilizo o NO-IP parainformar qual o LINK ativo no momento. Como agora eu estou utilizando o CARP para determinar um IP virtual, o NO-IP não está mostrando o VIP e sim o IP da interface física. Já tentei de tudo para que o NO-IP pegue o VIP e nada, ele sempre mostra o IP da WAN1 ou WAN2, depende de quem esta ativo. Parece que os dois PFsenses ficam brigando para determinar o IP no NO-IP.
Isso é um bug ou o PFSENSE não tem como forçar o NO-IP pegar o VIP do meu gateway?
Alguém sabe me dizer o porque disso?
Desde já agradeço a ajuda.
Marco Antonio de Lima
Analista Suporte -
Esse no-ip que tu tem é free ou pago?
-
Sim, estou utilizando a versão FREE do NO-IP.
Marco
-
Você pode usar o outbound nat para fazer uma regra específica para o host que o ddns chama na hora de atualizar.
-
Você pode usar o outbound nat para fazer uma regra específica para o host que o ddns chama na hora de atualizar.
Deixa ver se entendi…
Eu criei uma regra assim:
Essa regra já tinha criado, forçando sempre a saida pelo IP virtual. Mas o NO-IP pega o final 131.xxx.xxx.252 que é o IP da interface fisica.
Você esta sugerindo criar outra regra? Como seria?
Obrigado.
-
Galera estou aqui para postar a resposta da minha pergunta no Forum.
Depois de muito pesquisar e fazer testes, consegui resolver o problema do DDNS/NOIP/ETC não pegar o VIP criado para o failover.Para resolver o problema é preciso criar um monitoramento de apontanto para o VIP. Após isso, em todo lugar que pedir o IP da interface, aponte para o GW que foi criado no monitoramento. No meu caso, eu precisei usar em 2 lugares:
1 - No NAT para acesso a servidores interno, onde eu colova o "WAN Adress" eu substitui pelo GW com o meu VIP. Passei a acessar de fora os meus servidores interno pelo VIP.
2 - Utilizei no "Gatway Groups" para fazer o failover de link, segue imagem abaixo do que foi modificado:
Como podemos ver, eu faço failover do link GVT e Horizons. Antes o NOIP pegava o IP que vinha da interface que eu apontava nesse item, estava como "Interface Address", então mudei para o GW que criei e passou a funcionar corretamente.
Obrigado a todos que me ajudaram a resolver o problema.