Répartir le traffic internet entre 2 WANs
-
Bonjour,
Je suis confronté au cas d'un site oublié du haut-débit, où on arrive péniblement à 2 Mb/s.
En attendant qu'un jour la fibre arrive, le choix a été fait de souscrire à plusieurs accès Internet sous la forme de Boxes (Orange + Free) et de répartir les accès en fonction de l'appartenance des utilisateurs à des groupes.
En gros on a regroupé les utilisateurs en 3 groupes selon certains critères et on souhaiterait attribuer à chaque groupe un accès WAN propre.
Sur mon pfSense j'ai donc 4 interfaces. 1 LAN et 3 WAN.
Pour déterminer l'appartenance à un groupe des différents postes utilisateurs on a utilisé un adressage DHCP basé sur les adresses MAC pour que chaque poste se voit affecter toujours la même IP et on se propose d'aiguiller les accès Internet des différents poste en fonction de son adresse IP.
Pourriez-vous m'indiquer s'il est possible de réaliser ce paramétrage dans pfSense et comment car ce que j'ai lu sur le multi-WAN ne propose pas cette option.
Merci.
Pascal. -
oui c'est possible en créant des règle de fw sur l'interface LAN pour chaque groupe de machine.
Tu peux pur cela créer un alias par groupe, chaque alias définissant un range d'IP et il "suffit" ensuite de configurer, dans les policy routing, la gateway correspondant à ce groupe de machine (ça na rien à voir avec l'utilisateur, l'adresse IP est associée à une machine).Je ne suis cependant pas certain que ce soit la meilleure solution si il s'agit d'équilibrer la charge entre les interfaces.
Je serai beaucoup confiant avec un proxy sur le LAN qui utilise les 3 gateway, soit de manière équilibrée soit avec des poids différents selon le débit de chaque accès.
Même si les effects du cache au niveau du proxy sont limités car de plus en plus de flux est en HTTPS, il y a quand même toujours quelque chose à y gagner. -
Salut salut
Pourrais tu en dire plus sur ton SI et de préférence serait au mieux de te conformer au lien ci dessous
https://forum.pfsense.org/index.php?topic=79600.0
Etant persuader que certain d'entre nous participerons plus facilement à ton fil par la suite
Pour ma part cela m’intéresse mais avec le peu d'éléments que tu fournis je reste avec beaucoup d’interrogation.Cordialement
-
Salut salut
Pourrais tu en dire plus sur ton SI et de préférence serait au mieux de te conformer au lien ci dessous
https://forum.pfsense.org/index.php?topic=79600.0
Etant persuader que certain d'entre nous participerons plus facilement à ton fil par la suite
Pour ma part cela m’intéresse mais avec le peu d'éléments que tu fournis je reste avec beaucoup d’interrogation.Cordialement
Je ne voyais pas trop ce que cela apporterait à ma question. Le besoin est des plus simple, il y a juste une vingtaine de postes répartis en services qui sont clients d'un serveur DHCP qui leur attribue des adresses IP constantes grâce à une réservation d'adresse MAC. Afin de compenser le faible débit nous avons fait des essais de répartition fixe des accès avec plusieurs boxes / routeur 4G et cela a donné satisfaction. Je voulais donc savoir comment on pouvait réaliser un tel aiguillage avec 1 seul pfSense. Or lorsqu'on crée un groupe de Gateways dans pfSense, si j'ai bien compris, il n'est proposé que du failover ou du load balancing.
oui c'est possible en créant des règle de fw sur l'interface LAN pour chaque groupe de machine.
Tu peux pur cela créer un alias par groupe, chaque alias définissant un range d'IP et il "suffit" ensuite de configurer, dans les policy routing, la gateway correspondant à ce groupe de machine (ça na rien à voir avec l'utilisateur, l'adresse IP est associée à une machine).Je ne suis cependant pas certain que ce soit la meilleure solution si il s'agit d'équilibrer la charge entre les interfaces.
Je serai beaucoup confiant avec un proxy sur le LAN qui utilise les 3 gateway, soit de manière équilibrée soit avec des poids différents selon le débit de chaque accès.
Même si les effects du cache au niveau du proxy sont limités car de plus en plus de flux est en HTTPS, il y a quand même toujours quelque chose à y gagner.Je suis conscient que ce n'est pas idéal mais après un test réalisé avec des paramètres fixes (et sans firewall) ça donne satisfaction. Donc je songe simplement à le réaliser de manière protégée avec un pfSense entre le LAN et les 3 ou 4 accès WAN.
Dans votre suggestion les 3 gateways que vous évoquez ce sont mes box / routeur ou ce sont 3 pfSense reliés chacun à un box / routeur ?
Merci.
Pascal.
-
Bonjour,
J'ai quasi le même problème que toi (plusieurs liens lents dans mes contrées profondes).
J'ai 3 WAN sur 3 opérateurs différents.
Je fais du load balancing, du coup le trafic est réparti entre les 3 liens et, pour des téléchargements lourds, cela permet d'agréger les liens pour cs téléchargements (via des applications spécifiques comme Kget ou aria2c sous Linux).
c'est plus simple à mettre en œuvre que de grouper les postes sur des plages DHCP -
Bonjour,
J'ai quasi le même problème que toi (plusieurs liens lents dans mes contrées profondes).
J'ai 3 WAN sur 3 opérateurs différents.
Je fais du load balancing, du coup le trafic est réparti entre les 3 liens et, pour des téléchargements lourds, cela permet d'agréger les liens pour cs téléchargements (via des applications spécifiques comme Kget ou aria2c sous Linux).
c'est plus simple à mettre en œuvre que de grouper les postes sur des plages DHCPOK.
Est-ce que tes utilisateurs se connectent à des services sécurisés tel que des sites bancaires, via un navigateur ou par l'intermédiaire de solutions de transfert bancaire (logiciels de gestion) ?
Parce que c'est mon cas sur plusieurs postes.
Or j'ai expérimenté il y a 2 ans un groupe de 2 accès WAN sur 1 pfSense comme je suppose que tu as procédé.
Des problèmes se sont posés, de manière aléatoire, sur ces postes.
Après avoir cherché la cause, j'ai suspecté, sans pouvoir le confirmer, que les connexions passaient tantôt par une passerelle, tantôt par une autre. Et côté serveur bancaire, ils n'aiment pas du tout voir une connexion changer d'IP.
Le fait est que j'ai alors redirigé ces postes vers un autre pfSense qui n'avait qu'une seule connexion WAN et le problème a disparu.Pascal.
-
Je n'ai pas d'appli bancaire autre que des navigateurs internet.
Je confirme que certains sites n'aiment pas les changements d'IP, c'est pour cela que j'ai des règles qui forcent ces sites via une seule connexion (les banques, le site Hotels B&B …)
Pour le reste, aucun problème ...