MultiWAN



  • Ребят, всем привет!
    Имеем pfSense 2.2.6 и два ISP. Один - основной, второй - резерв.
    Настроен MultiWAN в "LAN" интерфейсе, но он толком не работает.
    Рвётся основной пров, pfSense детектит его как "мёртвый", автоматом подставляет шлюз второго ISP и инета нет! Ничего не пингается, но если зайти в правила "LAN" интерфейса, открыть правило с MultiWAN, там что-нибудь изменить и опять вернуть как было, нажать "Apply Settings" то тут же все работает, пинги начинают ходить, инет работать (на втором прове).
    Куда копать?



  • Доброе.

    @Electric^shock:

    Куда копать?

    Провайдеры разные или 2 учетки от одного ? Какие адреса мониторятся для проверки доступности Инета ( используйте 8.8.8.8 , 8.8.4.4) ?
    Какие днс исп-ся в наст. Advanced (там явно нужно указывать wan gw и асдреса днс ) ? Allow stickly connection - галка стоит ?



  • @Electric^shock:

    Настроен MultiWAN в "LAN" интерфейсе, но он толком не работает.

    Как это настроили MultiWAN в "LAN" ?

    В  LAN можно только  явно указать в правиле приоритет в  Advanced Options /Gateway что использовать MultiWAN или конкретный ISP

    Покажите настройки самого  MultiWAN  в  System / Routing / Gateways  и    System / Routing / Gateway Groups

    ===============================================================================================

    В    System / Advanced / Miscellaneous должна стоять галка Default gateway switching



  • @werter:

    Доброе.

    @Electric^shock:

    Куда копать?

    Провайдеры разные или 2 учетки от одного ? Какие адреса мониторятся для проверки доступности Инета ( используйте 8.8.8.8 , 8.8.4.4) ?
    Какие днс исп-ся в наст. Advanced (там явно нужно указывать wan gw и асдреса днс ) ? Allow stickly connection - галка стоит ?

    Разные провайдеры. Первый ISP мониторит 8.8.8.8, второй - 8.8.4.4. В System - General Setup используются 3 DNS-сервера (первый DNS - от провайдера местного, второй и третий - гугловские, первые два на основном провайдере, третий - на резервном, скриншот прилагаю). Use sticky connection - галка имеется (скриншот прилагаю).






  • @oleg1969:

    @Electric^shock:

    Настроен MultiWAN в "LAN" интерфейсе, но он толком не работает.

    Как это настроили MultiWAN в "LAN" ?

    В  LAN можно только  явно указать в правиле приоритет в  Advanced Options /Gateway что использовать MultiWAN или конкретный ISP

    Покажите настройки самого  MultiWAN  в  System / Routing / Gateways  и    System / Routing / Gateway Groups

    ===============================================================================================

    В    System / Advanced / Miscellaneous должна стоять галка Default gateway switching

    Имеется в виду, в Firewall - Rules - Lan - в качестве шлюза указан MultiWAN (скриншот);
    Настройки MultiWAN прилагаю (скриншоты).



    ![gateway group.jpg](/public/imported_attachments/1/gateway group.jpg)
    ![gateway group.jpg_thumb](/public/imported_attachments/1/gateway group.jpg_thumb)



  • Все правильно настроено, т.е. pfSense видит, когда падает ISP-1, переключается на ISP-2 (видно в логах), но на локальных машин инета нету, хотя с самого pfSense пинги идут до внешки (со второго прова).



  • Попробуйте убрать галку Use sticky connections

    И попробуйте мониторить для проверки шлюзы провайдеров



  • @oleg1969:

    Попробуйте убрать галку Use sticky connections

    И попробуйте мониторить для проверки шлюзы провайдеров

    Ок, галочку "Use sticky connections" убрал, оба шлюза провайдеров пингаются. Попробую вне рабочего дня принудительно "положить" первый канал и посмотрю, переключится ли на второй.



  • Ок, галочку "Use sticky connections" убрал, оба шлюза провайдеров пингаются. Попробую вне рабочего дня принудительно "положить" первый канал и посмотрю, переключится ли на второй.

    Для начала - проверяйте переключение на второго провайдера создав новое подключение - ping\web\и т.д через "старые" подключения будeт висеть, пока pfSense не прибьет "старые" states.



  • @pigbrother:

    Ок, галочку "Use sticky connections" убрал, оба шлюза провайдеров пингаются. Попробую вне рабочего дня принудительно "положить" первый канал и посмотрю, переключится ли на второй.

    Для начала - проверяйте переключение на второго провайдера создав новое подключение - ping\web\и т.д через "старые" подключения будeт висеть, пока pfSense не прибьет "старые" states.

    Пробовал уже, все висело мертвым грузом более 5 минут (когда первый ISP лежал), ничего не пингалось, не открывалось (хотя он уже должен был "прибить" к этому времени states). Кстати, где-нибудь этот интервал "прибития" старых states указывается?



  • Что в кач-ве ДНС у клиентских машин ?



  • @Electric^shock:

    Кстати, где-нибудь этот интервал "прибития" старых states указывается?

    System/Advanced/Miscellaneous ставим галку State Killing on Gateway Failure



  • @werter:

    Что в кач-ве ДНС у клиентских машин ?

    Первым DNS-сервером стоит IP-адрес контроллера домена (192.168.0.3)
    Вторым DNS-сервером стоит IP-адрес самого pfSense (192.168.0.1)



  • @oleg1969:

    @Electric^shock:

    Кстати, где-нибудь этот интервал "прибития" старых states указывается?

    System/Advanced/Miscellaneous ставим галку State Killing on Gateway Failure

    Благодарю, убрал эту галочку, посмотрим, будет ли он теперь "очищать" states, когда gateway у первого ISP станет "мертвым".



  • 1.Как писали выше, очень важно, что бы все днсы в лвс были на пф, особенно это касается контроллеров домена, некоторые забывают и ставят им другой провайдер в пф, в итоге инет по ван1 мертв, а днс на кд настроен через второго и получается, что клиенты пытаются так же идти через первого. Аналогично и для машин в домене, когда выставляем им несколько днс, то у как я помню запросы от клиентов идут согласно списка по очереди.
    2. В качестве днса выставлять 8.8.4.4 не правильно, он не особо надежен нежели 8.8.8.8. Проверенно в бою, в итоге более года Яндекс днсы использую
    3. Выставлять в качестве мониторинга шлюз совсем не правильно. Бывает так, что обрыв линии дальше чем находится шлюз, в итоге пф думает, что ван в норме, а по факту услуга не доступна, лучше выяснить у провайдера адрес их надежного днса, потому что, если уж он накроется у него, то и сеть его будет так же не в лучшем состоянии.
    4. Галка для убития всех сессий это хорошо, но при соблюдении выше сказанного, а то цикл получится.



  • Ребят, проблемка такая - когда первый провайдер падает, pfSense переключается на второй, но States остаются, не "прибиваются", пока вручную их не прибьёшь, и даже когда прибьёшь, старые коннекты/вкладки в браузере на новом (резервном) прове могут не открываться пока не сделаешь на ПК ipconfig /flushdns
    Кто как решал эту проблему?
    Задача: при отвале первого прова, автомат. переключение на второй и максимально быстре продолжение инет-сёрфинга с теми же сайтами, которые были открыты на первом прове...



  • Добрый.
    @Electricshock
    Настройки касаемо вашей проблемы есть в самом пф.



  • @werter Не могли бы Вы подсказать, где именно эта настройка? А то я уже все перепробовал, не получается добиться "нужного" эффекта.



  • Пробовал и ставить и убирать галочку в System > Advanced > Miscellaneous > "State Killing on Gateway Failure", не помогает, не "прибивает" он states на мертвом шлюзе и висят они, хотя отлично переключается на резервный канал, в случае падения основного, но толку от этого мало, нужно чтобы сразу же моментально "прибивал", чтобы люди не чувствовали вообще разрыва основного канала и продолжали работать в инете с теми же ресурсами (открытыми вкладками в браузере)



  • @electricshock said in MultiWAN:

    чтобы люди не чувствовали вообще разрыва основного канала и продолжали работать в инете с теми же ресурсами (открытыми вкладками в браузере)

    Чтобы открытые вкладки продолжали работать без обновления содержимого\реавторизации - INHO, невозможно.
    Старые стейты не работают (недействительны или прибиты) новые - не созданы.
    Браузер\ПО должны реиницировать соединение.