[Resolvido] - PROBLEMAS DE CONFIGURAÇÃO COM CARP + DYNAMIC DNS



  • Ola meus amigos,
    estou recorrendo ao FORUM por já não ter mais o que fazer com relação a um problema que enfrento com minhas configurações no PFSENSE.
    Eu tenho o seguinte cenário implementado na empresa que trabalho:

    Explicando o cenário:

    Temos 2 links:

    Link 1 GVT
    Link 2 Horizons

    Como podemos ver, temos um balanceamento de links Internet e um FAILOVER de firewall. Além disso, roda na WAN2 uma VPN ponto-a-ponto entre matriz e filial, que não está representada no gráfico.
    Antes de criar o FAILOVER de firewall a VPN e acesso Internet estavam estáveis. Funcionava tudo perfeito, inclusive com balanceamento de link e manobra da VPN. Apos criar o segundo firewall e implementar o FAILOVER a VPN passou a se comportar estranhamente. Funcionando durante alguns segundos, uns 30 por exemplo e depois trava… ficando uns 30 segundos parados e novamente voltando, ficando nesse ciclo indefinidamente. Para interromper esse processo foi preciso desconectar as interfaces WAN1 e WAN2 do servidor PF-2 no VMWARE. Quando são desabilitadas esse ciclo de interrompe, voltando a ficar estável.

    Pela analise que fiz, o problema parece estar com o Dynamic DNS, pois para o balancemaneto de link e manobra da VPN é utilizo o NO-IP parainformar qual o LINK ativo no momento.  Como agora eu estou utilizando o CARP para determinar um IP virtual, o NO-IP não está mostrando o VIP e sim o IP da interface física. Já tentei de tudo para que o NO-IP pegue o VIP e nada, ele sempre mostra o IP da WAN1 ou WAN2, depende de quem esta ativo. Parece que os dois PFsenses ficam brigando para determinar o IP no NO-IP.

    Isso é um bug ou o PFSENSE não tem como forçar o NO-IP pegar o VIP do meu gateway?

    Alguém sabe me dizer o porque disso?

    Desde já agradeço a ajuda.

    Marco Antonio de Lima
    Analista Suporte



  • Esse no-ip que tu tem é free ou pago?



  • Sim, estou utilizando a versão FREE do NO-IP.

    Marco



  • Você pode usar o outbound nat para fazer uma regra específica para o host que o ddns chama na hora de atualizar.



  • @marcelloc:

    Você pode usar o outbound nat para fazer uma regra específica para o host que o ddns chama na hora de atualizar.

    Deixa ver se entendi…

    Eu criei uma regra assim:

    Essa regra já tinha criado, forçando sempre a saida pelo IP virtual. Mas o NO-IP pega o final 131.xxx.xxx.252 que é o IP da interface fisica.

    Você esta sugerindo criar outra regra? Como seria?

    Obrigado.



  • Galera estou aqui para postar a resposta da minha pergunta no Forum.
    Depois de muito pesquisar e fazer testes, consegui resolver o problema do DDNS/NOIP/ETC não pegar o  VIP criado para o failover.

    Para resolver o problema é preciso criar um monitoramento de apontanto para o VIP. Após isso, em todo lugar que pedir o IP da interface, aponte para o GW que foi criado no monitoramento. No meu caso, eu precisei usar em 2 lugares:

    1 - No NAT para acesso a servidores interno, onde eu colova o "WAN Adress" eu substitui pelo GW com o meu VIP. Passei a acessar de fora os meus servidores interno pelo VIP.

    2 - Utilizei no "Gatway Groups" para fazer o failover de link, segue imagem abaixo do que foi modificado:

    Como podemos ver, eu faço failover do link GVT e Horizons. Antes o NOIP pegava o IP que vinha da interface que eu apontava nesse item, estava como "Interface Address", então mudei para o GW que criei  e passou a funcionar corretamente.

    Obrigado a todos que me ajudaram a resolver o problema.


Log in to reply