Mejor esquema Multi-Wan + Proxy Squid



  • Hola a todos, he estado intentando de mil maneras la forma de hacer funcionar correctamente en un mismo pfsense un proxy squid en modo transparente con balance de carga de tres líneas ftth. Al final, siempre me acaba fallando algo o no funciona como debiera.

    Al final estoy pensando en añadir un segundo PFSense (A) al esquema, que haga las labores de multi-wan, nat y firewall.

    Actualmente tengo un solo PFsense (192.168.0.1)  que hace las labores de NAT, multiwan, firewall y servidor dhcp .

    Entiendo que si añado un segundo Pfsense (A) entre el actual y las 3 ftth, sería este último quien tendría que hacer las funciones de NAT y de cortafuegos; haciendo únicamente el Pfsense B las labores de proxy y servidor DHCP

    Este sería el esquema.

    ¿Podéis indicarme si esto es correcto? Hay algún tipo de inconveniente en que ambos pfsense estén en la misma red?

    Se acepta cualquier tipo de sugerencia o crítica.

    Espero vuestras opiniones, muchas gracias!



  • Pues a mi me funciona con dos WAN, no veo el porque con tres no tenga que hacerlo…

    el pfsense se encarga de:

    Router
    Vlans
    DHCP
    DNS
    Proxy, este ultimo no lo puse transparente ya que no logré filtrar el https correctamenel

    Pon más imágenes con las configuraciones,

    Saludos



  • Saludos mis estimados,

    a simple vista no se podria observar donde tienes el inconveniente para que pfsense no haga la tarea como indicas, vendria bien recomendaciones al postear ahora tiempo para los compañeros que quisieran ayudarte y comentar y para usted en este caso que posee el inconveniente.

    Falta reglas usadas, configuración de los servicios activos en pfsense (proxy, dns,etc)

    Cabe destacar que en su caso usted esta tratando temas bastantes complicados y de actualidad que conllevan muchos detalles importantes a tener en cuenta.

    Proxy squid y balanceo de cargas

    Normalmente estas dos tareas dependiendo del entorno se puede recomendar hacerlas por separados asi que no seria descabellada la idea de dos pfsense…. todo depende de su entorno de produccion y resultados esperados.

    Recordar que conexiones https no se la lleva bien con balanceo de cargas y es muy probable que no pueda lograr optimizarlas de esta forma.... Por otro lado no es seguro ni viable segun el caso usar proxy para las mismas a pesar de que hoy dia existe squid-ssl.

    En fin como le comento faltan detalles para dar con la solucion definitiva de su caso.

    Quedo atento a sus comentarios



  • Igual que a comentado el amigo fabshdz, es extraño que no te funcione lo que dices, yo también tengo a mi cargo varios pfSense con DualWAN y Squid Transparente y Balanceo con Tier2 en ambos gateway, y no he tenido problema alguno, inclusive sin haber tocado mucho no tengo problemas con paginas HTTPS especificamente la de las Bancas en Linea.

    Seria bueno poder tener mas INFO de tu parte para poder ver donde puede estar el problema, saludos.



  • Hola,

    Yo tengo una configuración con tres WAN un tanto especialita y me funciona correctamente. Digo especialita porque tengo un servidor de correo que sale forzosamente por un grupo de puertas de enlace de dos WAN de IP fija (1 y 2), y después tengo el resto de conexiones al exterior por dos WAN y utilizando la tercera como último recurso (2 y 3, y la 1 como último recurso).

    Uso la configuración que quieres hacer: 3 WAN con balanceo, squid+squid guard en modo transparente, Firewall y DHCP.

    Tengo configurado el squid para que acepte el balanceo y he podido comprobar poniendo el mismo Tier a las tres WAN que iba intercalando entre ellas, por lo que si quieres puedo intentar echarte una mano a configurar el tuyo.

    Yo tuve problemas similares porque a pesar de ser fácil, hasta que no aprendes se te hace difícil, y hasta hace poco no he conseguido afinarlo del todo.

    Te hago un resumen por si te ayuda:

    • Tienes que crear un grupo de Gateways con las tres WAN
    • Crear una regla de firewall para que todo el tráfico restante se redirija a ese grupo de WANS (tiene que estar abajo del todo para que no sustituya a otras reglas).

    Con esto, el balanceo normal debería funcionar sin problemas. Para añadir el squid sólo tienes que instalarlo y configurarlo con normalidad, y en la casilla " Custom ACLS (Before Auth) " añades esta línea:

    tcp_outgoing_address 127.0.0.1
    

    Esto hace que el tráfico del squid vaya a localhost, el cual se encarga de redirigir el tráfico siguiendo las reglas por defecto (balanceo de carga). Si no lo pones el squid sale por la puerta de enlace por defecto.

    Un saludo.



  • @Danixu86:

    Hola,

    Yo tengo una configuración con tres WAN un tanto especialita y me funciona correctamente. Digo especialita porque tengo un servidor de correo que sale forzosamente por un grupo de puertas de enlace de dos WAN de IP fija (1 y 2), y después tengo el resto de conexiones al exterior por dos WAN y utilizando la tercera como último recurso (2 y 3, y la 1 como último recurso).

    Uso la configuración que quieres hacer: 3 WAN con balanceo, squid+squid guard en modo transparente, Firewall y DHCP.

    Tengo configurado el squid para que acepte el balanceo y he podido comprobar poniendo el mismo Tier a las tres WAN que iba intercalando entre ellas, por lo que si quieres puedo intentar echarte una mano a configurar el tuyo.

    Yo tuve problemas similares porque a pesar de ser fácil, hasta que no aprendes se te hace difícil, y hasta hace poco no he conseguido afinarlo del todo.

    Te hago un resumen por si te ayuda:

    • Tienes que crear un grupo de Gateways con las tres WAN
    • Crear una regla de firewall para que todo el tráfico restante se redirija a ese grupo de WANS (tiene que estar abajo del todo para que no sustituya a otras reglas).

    Con esto, el balanceo normal debería funcionar sin problemas. Para añadir el squid sólo tienes que instalarlo y configurarlo con normalidad, y en la casilla " Custom ACLS (Before Auth) " añades esta línea:

    tcp_outgoing_address 127.0.0.1
    

    Esto hace que el tráfico del squid vaya a localhost, el cual se encarga de redirigir el tráfico siguiendo las reglas por defecto (balanceo de carga). Si no lo pones el squid sale por la puerta de enlace por defecto.

    Un saludo.

    Hola,

    Solo quisiera saber su probaste este setup desconectando una o dos redes de la caja pfsense y ver si pudiste seguir navegando? o si falta alguna configuración extra como reglas flotantes en el firewall etc.



  • @Hermosillo:

    @Danixu86:

    Hola,

    Yo tengo una configuración con tres WAN un tanto especialita y me funciona correctamente. Digo especialita porque tengo un servidor de correo que sale forzosamente por un grupo de puertas de enlace de dos WAN de IP fija (1 y 2), y después tengo el resto de conexiones al exterior por dos WAN y utilizando la tercera como último recurso (2 y 3, y la 1 como último recurso).

    Uso la configuración que quieres hacer: 3 WAN con balanceo, squid+squid guard en modo transparente, Firewall y DHCP.

    Tengo configurado el squid para que acepte el balanceo y he podido comprobar poniendo el mismo Tier a las tres WAN que iba intercalando entre ellas, por lo que si quieres puedo intentar echarte una mano a configurar el tuyo.

    Yo tuve problemas similares porque a pesar de ser fácil, hasta que no aprendes se te hace difícil, y hasta hace poco no he conseguido afinarlo del todo.

    Te hago un resumen por si te ayuda:

    • Tienes que crear un grupo de Gateways con las tres WAN
    • Crear una regla de firewall para que todo el tráfico restante se redirija a ese grupo de WANS (tiene que estar abajo del todo para que no sustituya a otras reglas).

    Con esto, el balanceo normal debería funcionar sin problemas. Para añadir el squid sólo tienes que instalarlo y configurarlo con normalidad, y en la casilla " Custom ACLS (Before Auth) " añades esta línea:

    tcp_outgoing_address 127.0.0.1
    

    Esto hace que el tráfico del squid vaya a localhost, el cual se encarga de redirigir el tráfico siguiendo las reglas por defecto (balanceo de carga). Si no lo pones el squid sale por la puerta de enlace por defecto.

    Un saludo.

    Hola,

    Solo quisiera saber su probaste este setup desconectando una o dos redes de la caja pfsense y ver si pudiste seguir navegando? o si falta alguna configuración extra como reglas flotantes en el firewall etc.

    Al crear el grupo de WAN y poner la regla de FW dirigiendo el tráfico a ese grupo lo que haces es que el PfSense sea el que gestione la salida por las WAN y por lo tanto se encarga de detectar si están online y de dirigir el tráfico.

    Yo he estado reiniciando routers cuando había algún tipo de problema y la gente no se ha enterado de ello, por lo que puedo decir que funciona.
    No puedo dar más datos, ya que hace casi un año que ya no trabajo en esa empresa, por lo que tampoco puedo revisar configuraciones.

    Un saludo.


Log in to reply