Multiwan e squid



  • Buongiorno a tutti.

    Vorrei, se possibile, qualche chiarimento in merito al failover con 3 wan e squid.

    Ho configurato un pfSense con 3 wan e una lan; creato i gruppi per il failover, tutto funziona come previsto. Il problema si presenta con squid+squidguard. Il gateway di default di squid pare non seguire le regole impostate, nel senso che squid richiede sempre le pagine dal gateway di default impostato in System>Routing>Gateway.

    C'è un modo per fare in modo che squid utilizzi i gatway group invece che il defaul gateway?

    Grazie in anticipo.



  • Ciao,
    devi inserire questa direttiva tcp_outgoing_address 127.0.0.1 nel campo custom options.
    In questo modo il traffico esce da localhost e viene poi smistato secondo le tue regole di routing.

    Ciao Fabio



  • Grazie per avermi "puntato" nella giusta direzione ma pare non funzionare e pare che non sia possibile farlo, c'è un bug aperto dal 2013 mi pare.

    Spiego la situazione…

    3 wan, una lan.

    le 3 wan devono essere "popolate" da 3 gruppi di ip, quindi creati gli alias su firewall e le regole su rules lan per "reindirizzare" sull'opportuno gateway (in realtà gruppo di gateway per il failover) i gruppi di IP tutto pare funzionare come un orologio... fino all'introduzione del duo squid-squidguard.
    In pratica tutte le richieste che passano da squid vengono fatte passare "bypassando" le rules impostate, mi pare perchè escono con localhost come richiedente.

    Speravo si potesse "istruire" squid a tenere traccia dell'ip che ha fatto richiesta e/o fare in modo che anche squid segua le regole del firewall.
    Mi è sembrato di trovare un sistema che utilizza un localhost aggiuntivo (127.0.0.2) ma non ho approfondito perchè non mi è sembrato potesse funzionare.

    Ho "risolto" riunendo in un solo gruppo IP le periferiche che traggono giovamento dall'introduzione di squid e facendo coincidere il gateway di default con il gateway che deve utilizzare questo gruppo di IP.
    Gli altri due gruppi sono stati inseriti negli indirizzi da non "proxare" su "Bypass Proxy for These Source IPs" e quindi seguono le regole del firewall.

    Se qualcuno ha un'idea migliore (o è riuscito a far funzionare squid seguendo le rules del firewall) sarei lieto la potesse condividere...  ;D


Log in to reply