GW грыппы для 3x WAN
-
Всем хорошего настроения.
Прошу помощи в разъяснении работы тех самых групп в разделе System - Routing - Gateway Groups
Я уже давно использую функцию балансировки и Фаиловера, но вопросы возникли когда стало необходимо настроить это всё для 3х WAN.Для стандартных 2х WAN надо 3 правила. 1 для LB и 2 для FO - и тут у меня вопросы:
Из доков пфсенса я не совсем понял логики. С лоадбалансером всё понятно, а вот что происходит при падении одного gw я непонял.По моей (не обязательно правильной) логике нужно создать одно правила в котором указать системе последовательность перескока по шлюзам при падении. Но путём эксперимента выяснил что так не работает. Ну тут ладно создал два правила и проблема решена.
А вот как крутить tier если WANов 3? получается нужно создать группы на каждый случай жизни?
То есть: 3 Wan - 6 групп+1 для LB? Или как?Где вообще об этом можно почитать более подробно?
-
Доброго.
Для стандартных 2х WAN надо 3 правила. 1 для LB и 2 для FO - и тут у меня вопросы:
Хм. А разве для FO из 2-х ВАНов не хватит установленной галки на Allow def gateway swithching ? Зачем явно создавать еще и правила, что при падении WAN2 нужно переходить на WAN1 и наоборот ? Такие правила при FO создаются явно, если у WAN-интерфейсов есть еще и важность\приоритет - Tier.
По-хорошему, я бы вообще FO не использовал. Оставил бы только LB - оно и так работает как FO + балансировка. Но нужно потестить, однако. Попробуйте. Только галку на Stiсkly connections поставить + Reset states сделать после изменения правил fw с явным указанием LB в кач-ве gw.
-
Доброго.
Для стандартных 2х WAN надо 3 правила. 1 для LB и 2 для FO - и тут у меня вопросы:
Хм. А разве для FO из 2-х ВАНов не хватит установленной галки на Allow def gateway swithching ? Зачем явно создавать еще и правила, что при падении WAN2 нужно переходить на WAN1 и наоборот ? Такие правила при FO создаются явно, если у WAN-интерфейсов есть еще и важность\приоритет - Tier.
По-хорошему, я бы вообще FO не использовал. Оставил бы только LB - оно и так работает как FO + балансировка. Нужно потестить.
Видите ли в моём случае есть еще интерфейс для впн, у которого тоже свой шлюз, и бывало так что падали айпи адреса по которым мониторились WANы, и система с помощью gwswitch назначила ВПН как основной шлюз, что в свою очередь сломало маршрутизацию.
-
падали айпи адреса по которым мониторились WANы
Покажите скрином что вы мониторите.
-
Покажите скрином что вы мониторите.
Такое впечатление что вы мне не доверяете…
И не удивляйтесь "Как такое возможно", я живу в очень насыщенном событиями месте куда приходит только один магистральный линк и нет конкуренции.
-
Доброго.
@chieftech:Такое впечатление что вы мне не доверяете…
Да я и себе иногда не доверяю - перепроверять приходится. Спросил же к тому, что многие не добавляют в кач-ве Monitoring IP сторонние ресурсы , а мониторят шлюз провайдера, напр., что не верно.
я живу в очень насыщенном событиями месте куда приходит только один магистральный линк и нет конкуренции.
Вы себе и представить не можете, в каком "очень насыщенном событиями месте" живу я ;D
Создайте из ваших 3-ех ВАНов LB-группу и используйте ее в правилах fw на ЛАН. Только галку на Stiсkly connections поставить + Reset states сделайте.
-
Создайте из ваших 3-ех ВАНов LB-группу и используйте ее в правилах fw на ЛАН. Только галку на Stiсkly connections поставить + Reset states сделайте.
Да да, я вник. Немогу пока добраться до места, по удалёнке не хочу эксперементировать от греха подальше. По результатам отпишусь
-
Царь доволен. ;D
Всё действительно работает только на одной группе LB.
Работает без галочка Use sticky connections, да и с ней тоже работает. Правда без нее балансит множественные подключения с одного хоста сразу на все 3 шлюза, а с ней только в один.
В правиласх FW естестественно правило на эту группу
В настройках впн нужно выбрать группу LB как интерфейс для подключения. Переконекчивается в случае падения почти мгновенно, вырубал ваны в любых последовательностях.
Спасибо тебе милй человек.
-
Работает без галочка Use sticky connections, да и с ней тоже работает
Лучше оставить включенной. Без нее многие сервисы - банки, почты и т.д и при использовании LB . могут работать неадекватно.В настройках впн нужно выбрать группу LB как интерфейс для подключения.
Это можно подробнее? -
Это можно подробнее?
В настройках клиента OpenVPN нужно указать интерфейсом подключения группу Loadbalancing'а, иначе не переконекчивается при падении Default шлюза. Уточняю сразу что в моем случае gateway switching не используется.
-
Не предполагал, что создание группы интерфейсов создаст псевдо-интерфейс, доступный для выбора в Open VPN.
Возьму на заметку, спасибо. Я Open VPN как интерфейс не использую.
gateway switching и зачем он нужен мы с вами(?) вроде обсуждали. -
Доброго.
Супер.Не предполагал, что создание группы интерфейсов создаст псевдо-интерфейс, доступный для выбора в Open VPN.
А чего ж не даст-то ? Это ж клиент. А LB-группу мы создали из реальных ВАНов.
gateway switching и зачем он нужен
Нужен для FO, чтобы явно не создавать FO-группу и у ВАНов "вес" (tier) одинаков.
-
gateway switching и зачем он нужен
дочитаем до конца:
мы с вами(?) вроде обсуждали.
UPD.
Обсуждали именно с chieftech:
https://forum.pfsense.org/index.php?topic=140299.msg766894#msg766894А чего ж не даст-то ? Это ж клиент. А LB-группу мы создали из реальных ВАНов.
К своему стыду не знал, что создание LB-группы создает не только шлюз, но и интерфейс. -
дочитаем до конца:
мы с вами(?) вроде обсуждали.
Поискать ссылку на пост?Это для chieftech
