MultiWAN con servicios publicados y FailOver
-
Buenas tardes, hago la siguiente consulta por que estube buscando info al respecto y no logre solucionarlo.
Hace poco empece con PfSense, y tengo la suerte de tenerlo funcionando en un cliente con unos 100 equipos con las funciones que detalle en el titulo. Todo muy lindo, el proxy funciona perfecto, todo lo que es administracion de la red tambien, pero el FailOver de las WAN me esta dando 1 problema, y es que basicamente, cuando se me cae la WAN1 y deberia "entrar" la WAN2, me dejan de funcionar los puertos que tengo redireccionados para RDP y otras funciones. Aclaro: no hay balanceo de carga entre las WAN, cada puerto esta redireccionado 1 vez para cada WAN(Cuando WAN1 esta funcionando, accedo por cualquiera de las 2 WAN perfectamente a los servidores que estan detras). eh probado distintas reglas que encontre en el foro, asi como distintas opciones de gateway(default) e incluso en las rules de cada redireccionamiento aclararle manualmente el como gateway el grupo de gateways que hace el failover.Se que escribi demasiado, pero intento que se entienda lo mejor posible, mil disculpas si no es asi.
La estructura seria de la siguiente manera:
ISP1/WAN1
+>PfSense>LAN>Equipos y servidores.
ISP2/WAN2ISP1 se utiliza para uso "general" por toda la red.
ISP2 se utiliza para acceso remoto desde sucursarles.(esto deja de funcionar cuando ISP1 se cae.Dejo algunas capturas, solo pidan si quieren alguna mas.
Presiento que para alguno de Uds va a ser una pavada esto… jeje
Desde ya, se agradece muchisimo cualquier respuesta y/o colaboracion.
Saludos desde Argentina!
Fernando.
-
Creo que resolverás el problema negando el enrutamiento hacia el grupo de puertas en LAN Rules
https://doc.pfsense.org/index.php/Multi-WAN
Por ejemplo, origen LAN net TCP 3389 destino cualquiera, sin indicar puerta
Y esto por delante de la regla que emplea el agrupamiento de puertas.
-
Buen dia Bellera! Gracias por tu rapida respuesta!
Cree la regla como mencionaste, pero sigue sucediendo lo mismo. Subo una captura para confirmar si lo habre hecho bien. vas a notar que por prolijidad, elimine la regla que tenia para emplear el grupo de gateways y lo puse directamente en la regla original del pfsense.
Me falto aclarar que los RDP me dejan de funcionar, pero los 2 puertos que apuntan al mismisimo PfSense siguen funcionando perfecto. puedo acceder a la WebGUI desde la WAN2 con la WAN1 caida.
Saludos y mil gracias!
-
No es bloqueo, es paso, previo a la regla de paso general con puerta indicada.
Policy route negation is just a rule that passes traffic to other local or VPN-connected networks that does not have a gateway set. By not setting a gateway on that rule it will bypass the gateway group and use the routing table on the firewall. These rules should be at the top of the list – or at least above any rules using gateways.
-
correcto, error mio, perdon… ahi cambie la accion y estaria funcionando! te agradezco muchisimo por tu ayuda Bellera!
Un saludo desde Argentina!
Fernando. -
Saludos mis estimados,
recordar mi estimados que cuando se esta trabajando con varios ISP es decir balanceo o failover y se desea usar o hacer separación de servicios bien sean en entrada o salida de trafico se debe tomar muy en cuenta el gateway a utilizar y asignarlo corrrectamente por separado en tantas reglas tengan activas….
En este caso esa fue la corrección del maestro bellera, bravo por que pudiste solventar la situación.
Seguimos llenando de buenas paginas el forum para todos aquellos que se vayan sumando al maravilloso mundo del OpenSource con pfsense.
-
Muchas gracias a ambos por su ayuda, mucha razón tienen.
Gracias a este foro pude llegar hasta donde estoy con mi PfSense y obtuve todas las satisfacciones que me dio!
Saludos, Fernando.
-
Busca también en https://doc.pfsense.org suele haber guides muy buenas