Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    [Resolvido] - PROBLEMAS DE CONFIGURAÇÃO COM CARP + DYNAMIC DNS

    Portuguese
    3
    6
    402
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • Markinho1970
      Markinho1970 last edited by

      Ola meus amigos,
      estou recorrendo ao FORUM por já não ter mais o que fazer com relação a um problema que enfrento com minhas configurações no PFSENSE.
      Eu tenho o seguinte cenário implementado na empresa que trabalho:

      Explicando o cenário:

      Temos 2 links:

      Link 1 GVT
      Link 2 Horizons

      Como podemos ver, temos um balanceamento de links Internet e um FAILOVER de firewall. Além disso, roda na WAN2 uma VPN ponto-a-ponto entre matriz e filial, que não está representada no gráfico.
      Antes de criar o FAILOVER de firewall a VPN e acesso Internet estavam estáveis. Funcionava tudo perfeito, inclusive com balanceamento de link e manobra da VPN. Apos criar o segundo firewall e implementar o FAILOVER a VPN passou a se comportar estranhamente. Funcionando durante alguns segundos, uns 30 por exemplo e depois trava… ficando uns 30 segundos parados e novamente voltando, ficando nesse ciclo indefinidamente. Para interromper esse processo foi preciso desconectar as interfaces WAN1 e WAN2 do servidor PF-2 no VMWARE. Quando são desabilitadas esse ciclo de interrompe, voltando a ficar estável.

      Pela analise que fiz, o problema parece estar com o Dynamic DNS, pois para o balancemaneto de link e manobra da VPN é utilizo o NO-IP parainformar qual o LINK ativo no momento.  Como agora eu estou utilizando o CARP para determinar um IP virtual, o NO-IP não está mostrando o VIP e sim o IP da interface física. Já tentei de tudo para que o NO-IP pegue o VIP e nada, ele sempre mostra o IP da WAN1 ou WAN2, depende de quem esta ativo. Parece que os dois PFsenses ficam brigando para determinar o IP no NO-IP.

      Isso é um bug ou o PFSENSE não tem como forçar o NO-IP pegar o VIP do meu gateway?

      Alguém sabe me dizer o porque disso?

      Desde já agradeço a ajuda.

      Marco Antonio de Lima
      Analista Suporte

      Marco Antonio
      Support Analyst

      1 Reply Last reply Reply Quote 0
      • empbilly
        empbilly last edited by

        Esse no-ip que tu tem é free ou pago?

        https://eliasmoraispereira.wordpress.com/

        1 Reply Last reply Reply Quote 0
        • Markinho1970
          Markinho1970 last edited by

          Sim, estou utilizando a versão FREE do NO-IP.

          Marco

          Marco Antonio
          Support Analyst

          1 Reply Last reply Reply Quote 0
          • marcelloc
            marcelloc last edited by

            Você pode usar o outbound nat para fazer uma regra específica para o host que o ddns chama na hora de atualizar.

            Treinamentos de Elite: http://sys-squad.com

            Help a community developer! ;D

            1 Reply Last reply Reply Quote 0
            • Markinho1970
              Markinho1970 last edited by

              @marcelloc:

              Você pode usar o outbound nat para fazer uma regra específica para o host que o ddns chama na hora de atualizar.

              Deixa ver se entendi…

              Eu criei uma regra assim:

              Essa regra já tinha criado, forçando sempre a saida pelo IP virtual. Mas o NO-IP pega o final 131.xxx.xxx.252 que é o IP da interface fisica.

              Você esta sugerindo criar outra regra? Como seria?

              Obrigado.

              Marco Antonio
              Support Analyst

              1 Reply Last reply Reply Quote 0
              • Markinho1970
                Markinho1970 last edited by

                Galera estou aqui para postar a resposta da minha pergunta no Forum.
                Depois de muito pesquisar e fazer testes, consegui resolver o problema do DDNS/NOIP/ETC não pegar o  VIP criado para o failover.

                Para resolver o problema é preciso criar um monitoramento de apontanto para o VIP. Após isso, em todo lugar que pedir o IP da interface, aponte para o GW que foi criado no monitoramento. No meu caso, eu precisei usar em 2 lugares:

                1 - No NAT para acesso a servidores interno, onde eu colova o "WAN Adress" eu substitui pelo GW com o meu VIP. Passei a acessar de fora os meus servidores interno pelo VIP.

                2 - Utilizei no "Gatway Groups" para fazer o failover de link, segue imagem abaixo do que foi modificado:

                Como podemos ver, eu faço failover do link GVT e Horizons. Antes o NOIP pegava o IP que vinha da interface que eu apontava nesse item, estava como "Interface Address", então mudei para o GW que criei  e passou a funcionar corretamente.

                Obrigado a todos que me ajudaram a resolver o problema.

                Marco Antonio
                Support Analyst

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post