Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Mejor esquema Multi-Wan + Proxy Squid

    Español
    6
    7
    1894
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Bruj0
      Bruj0 last edited by

      Hola a todos, he estado intentando de mil maneras la forma de hacer funcionar correctamente en un mismo pfsense un proxy squid en modo transparente con balance de carga de tres líneas ftth. Al final, siempre me acaba fallando algo o no funciona como debiera.

      Al final estoy pensando en añadir un segundo PFSense (A) al esquema, que haga las labores de multi-wan, nat y firewall.

      Actualmente tengo un solo PFsense (192.168.0.1)  que hace las labores de NAT, multiwan, firewall y servidor dhcp .

      Entiendo que si añado un segundo Pfsense (A) entre el actual y las 3 ftth, sería este último quien tendría que hacer las funciones de NAT y de cortafuegos; haciendo únicamente el Pfsense B las labores de proxy y servidor DHCP

      Este sería el esquema.

      ¿Podéis indicarme si esto es correcto? Hay algún tipo de inconveniente en que ambos pfsense estén en la misma red?

      Se acepta cualquier tipo de sugerencia o crítica.

      Espero vuestras opiniones, muchas gracias!

      1 Reply Last reply Reply Quote 0
      • F
        fabshdz last edited by

        Pues a mi me funciona con dos WAN, no veo el porque con tres no tenga que hacerlo…

        el pfsense se encarga de:

        Router
        Vlans
        DHCP
        DNS
        Proxy, este ultimo no lo puse transparente ya que no logré filtrar el https correctamenel

        Pon más imágenes con las configuraciones,

        Saludos

        1 Reply Last reply Reply Quote 0
        • A
          amnarl last edited by

          Saludos mis estimados,

          a simple vista no se podria observar donde tienes el inconveniente para que pfsense no haga la tarea como indicas, vendria bien recomendaciones al postear ahora tiempo para los compañeros que quisieran ayudarte y comentar y para usted en este caso que posee el inconveniente.

          Falta reglas usadas, configuración de los servicios activos en pfsense (proxy, dns,etc)

          Cabe destacar que en su caso usted esta tratando temas bastantes complicados y de actualidad que conllevan muchos detalles importantes a tener en cuenta.

          Proxy squid y balanceo de cargas

          Normalmente estas dos tareas dependiendo del entorno se puede recomendar hacerlas por separados asi que no seria descabellada la idea de dos pfsense…. todo depende de su entorno de produccion y resultados esperados.

          Recordar que conexiones https no se la lleva bien con balanceo de cargas y es muy probable que no pueda lograr optimizarlas de esta forma.... Por otro lado no es seguro ni viable segun el caso usar proxy para las mismas a pesar de que hoy dia existe squid-ssl.

          En fin como le comento faltan detalles para dar con la solucion definitiva de su caso.

          Quedo atento a sus comentarios

          1 Reply Last reply Reply Quote 0
          • S
            sysmus last edited by

            Igual que a comentado el amigo fabshdz, es extraño que no te funcione lo que dices, yo también tengo a mi cargo varios pfSense con DualWAN y Squid Transparente y Balanceo con Tier2 en ambos gateway, y no he tenido problema alguno, inclusive sin haber tocado mucho no tengo problemas con paginas HTTPS especificamente la de las Bancas en Linea.

            Seria bueno poder tener mas INFO de tu parte para poder ver donde puede estar el problema, saludos.

            1 Reply Last reply Reply Quote 0
            • D
              Danixu86 last edited by

              Hola,

              Yo tengo una configuración con tres WAN un tanto especialita y me funciona correctamente. Digo especialita porque tengo un servidor de correo que sale forzosamente por un grupo de puertas de enlace de dos WAN de IP fija (1 y 2), y después tengo el resto de conexiones al exterior por dos WAN y utilizando la tercera como último recurso (2 y 3, y la 1 como último recurso).

              Uso la configuración que quieres hacer: 3 WAN con balanceo, squid+squid guard en modo transparente, Firewall y DHCP.

              Tengo configurado el squid para que acepte el balanceo y he podido comprobar poniendo el mismo Tier a las tres WAN que iba intercalando entre ellas, por lo que si quieres puedo intentar echarte una mano a configurar el tuyo.

              Yo tuve problemas similares porque a pesar de ser fácil, hasta que no aprendes se te hace difícil, y hasta hace poco no he conseguido afinarlo del todo.

              Te hago un resumen por si te ayuda:

              • Tienes que crear un grupo de Gateways con las tres WAN
              • Crear una regla de firewall para que todo el tráfico restante se redirija a ese grupo de WANS (tiene que estar abajo del todo para que no sustituya a otras reglas).

              Con esto, el balanceo normal debería funcionar sin problemas. Para añadir el squid sólo tienes que instalarlo y configurarlo con normalidad, y en la casilla " Custom ACLS (Before Auth) " añades esta línea:

              tcp_outgoing_address 127.0.0.1
              

              Esto hace que el tráfico del squid vaya a localhost, el cual se encarga de redirigir el tráfico siguiendo las reglas por defecto (balanceo de carga). Si no lo pones el squid sale por la puerta de enlace por defecto.

              Un saludo.

              1 Reply Last reply Reply Quote 0
              • T
                Tecnergy last edited by

                @Danixu86:

                Hola,

                Yo tengo una configuración con tres WAN un tanto especialita y me funciona correctamente. Digo especialita porque tengo un servidor de correo que sale forzosamente por un grupo de puertas de enlace de dos WAN de IP fija (1 y 2), y después tengo el resto de conexiones al exterior por dos WAN y utilizando la tercera como último recurso (2 y 3, y la 1 como último recurso).

                Uso la configuración que quieres hacer: 3 WAN con balanceo, squid+squid guard en modo transparente, Firewall y DHCP.

                Tengo configurado el squid para que acepte el balanceo y he podido comprobar poniendo el mismo Tier a las tres WAN que iba intercalando entre ellas, por lo que si quieres puedo intentar echarte una mano a configurar el tuyo.

                Yo tuve problemas similares porque a pesar de ser fácil, hasta que no aprendes se te hace difícil, y hasta hace poco no he conseguido afinarlo del todo.

                Te hago un resumen por si te ayuda:

                • Tienes que crear un grupo de Gateways con las tres WAN
                • Crear una regla de firewall para que todo el tráfico restante se redirija a ese grupo de WANS (tiene que estar abajo del todo para que no sustituya a otras reglas).

                Con esto, el balanceo normal debería funcionar sin problemas. Para añadir el squid sólo tienes que instalarlo y configurarlo con normalidad, y en la casilla " Custom ACLS (Before Auth) " añades esta línea:

                tcp_outgoing_address 127.0.0.1
                

                Esto hace que el tráfico del squid vaya a localhost, el cual se encarga de redirigir el tráfico siguiendo las reglas por defecto (balanceo de carga). Si no lo pones el squid sale por la puerta de enlace por defecto.

                Un saludo.

                Hola,

                Solo quisiera saber su probaste este setup desconectando una o dos redes de la caja pfsense y ver si pudiste seguir navegando? o si falta alguna configuración extra como reglas flotantes en el firewall etc.

                1 Reply Last reply Reply Quote 0
                • D
                  Danixu86 last edited by

                  @Hermosillo:

                  @Danixu86:

                  Hola,

                  Yo tengo una configuración con tres WAN un tanto especialita y me funciona correctamente. Digo especialita porque tengo un servidor de correo que sale forzosamente por un grupo de puertas de enlace de dos WAN de IP fija (1 y 2), y después tengo el resto de conexiones al exterior por dos WAN y utilizando la tercera como último recurso (2 y 3, y la 1 como último recurso).

                  Uso la configuración que quieres hacer: 3 WAN con balanceo, squid+squid guard en modo transparente, Firewall y DHCP.

                  Tengo configurado el squid para que acepte el balanceo y he podido comprobar poniendo el mismo Tier a las tres WAN que iba intercalando entre ellas, por lo que si quieres puedo intentar echarte una mano a configurar el tuyo.

                  Yo tuve problemas similares porque a pesar de ser fácil, hasta que no aprendes se te hace difícil, y hasta hace poco no he conseguido afinarlo del todo.

                  Te hago un resumen por si te ayuda:

                  • Tienes que crear un grupo de Gateways con las tres WAN
                  • Crear una regla de firewall para que todo el tráfico restante se redirija a ese grupo de WANS (tiene que estar abajo del todo para que no sustituya a otras reglas).

                  Con esto, el balanceo normal debería funcionar sin problemas. Para añadir el squid sólo tienes que instalarlo y configurarlo con normalidad, y en la casilla " Custom ACLS (Before Auth) " añades esta línea:

                  tcp_outgoing_address 127.0.0.1
                  

                  Esto hace que el tráfico del squid vaya a localhost, el cual se encarga de redirigir el tráfico siguiendo las reglas por defecto (balanceo de carga). Si no lo pones el squid sale por la puerta de enlace por defecto.

                  Un saludo.

                  Hola,

                  Solo quisiera saber su probaste este setup desconectando una o dos redes de la caja pfsense y ver si pudiste seguir navegando? o si falta alguna configuración extra como reglas flotantes en el firewall etc.

                  Al crear el grupo de WAN y poner la regla de FW dirigiendo el tráfico a ese grupo lo que haces es que el PfSense sea el que gestione la salida por las WAN y por lo tanto se encarga de detectar si están online y de dirigir el tráfico.

                  Yo he estado reiniciando routers cuando había algún tipo de problema y la gente no se ha enterado de ello, por lo que puedo decir que funciona.
                  No puedo dar más datos, ya que hace casi un año que ya no trabajo en esa empresa, por lo que tampoco puedo revisar configuraciones.

                  Un saludo.

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post

                  Products

                  • Platform Overview
                  • TNSR
                  • pfSense
                  • Appliances

                  Services

                  • Training
                  • Professional Services

                  Support

                  • Subscription Plans
                  • Contact Support
                  • Product Lifecycle
                  • Documentation

                  News

                  • Media Coverage
                  • Press
                  • Events

                  Resources

                  • Blog
                  • FAQ
                  • Find a Partner
                  • Resource Library
                  • Security Information

                  Company

                  • About Us
                  • Careers
                  • Partners
                  • Contact Us
                  • Legal
                  Our Mission

                  We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

                  Subscribe to our Newsletter

                  Product information, software announcements, and special offers. See our newsletter archive to sign up for future newsletters and to read past announcements.

                  © 2021 Rubicon Communications, LLC | Privacy Policy