SQUID + 2 WAN + Varias LAN



  • Gente necesito que me ayuden a entender algo. Tengo instalado la última versión de pfsense +squid (no transparente) +squidGuard, para lo cual todos los que están detrás de la Lan navegan sin problemas pero lo hacen por el WAN1 default.

    Necesito que algunas VLAN o determinadas ip salgan por otra WAN2. Las VLAN no estan creadas en pfsense.

    Intente creando una regla en Rules\LAN :
    Protocol Source Port Destination Port Gateway
    IPv4 TCP VLAN1 * WAN2 * Gateway de WAN2

    Tambien probe cambiando VLAN1 por la ip especifica pero no funciona.

    Esto cuando lo tenía en modo transparente (en un pfsense que se usaba antes) funcionaba correctamente.

    Nota: La wan2 funciona correctamente, lo comprobé pasando a default.

    Agradezco todo tipo de ayuda. Muchas Gracias.



  • Cuando en Pfsense utilizas Proxy (squid). el, por defecto como equipo navega por su default gateway.

    Creo haber leido por alli que existe una forma para lograr que el squid balancee en sus N wan.

    Este link de javcasta te puede ayudar a aclarar dudas.

    https://www.javcasta.com/procedimiento-pfsense-2-2-6-amd64-con-squid-en-entorno-multiwan/



  • Para eso debes entrar a Squid General Settings/Advanced Features/Custom Options
    y agregar algo asi:

    acl acl-network_servers src 192.101.91.0/24
    tcp_outgoing_address 192.168.1.10 acl-network_servers

    192.168.1.10 - es la IP del WAN 2 de mi fw



  • la opción del configuración en el Firewall es la que uso para ese tipo de requerimientos sin problemas lo único es que no están inmediato el cambio ya que las maquinas ya tienen una ruta por donde ir.



  • Gente muchas gracias por su respuesta, no tuve tiempo de probar esas configuraciones que me estan diciendo.
    @wmorales esto que me comentas es para Squid como Proxy Explicito? saludos.



  • si para proxy explicito, por ejemplo el que tengo configurado tiene 3 enlaces wan y balanceado de gateways .



  • @wmorales mira que raro yo no puedo hacer funcionar dos wan para que distintas vlan salgan por distintos wan.

    Si no es mucha molestias, podrías compartir tu configuración de esas reglas del firewall, si estan a nivel de Wan o Lan, por lo menos de forma genérica para darme una idea? muchas gracias.



  • bueno por lo general para este tipo de casos las reglas se aplican en la Lan, ahora si quieres balancear los gateways sigue estos pasos:
    verifica en System/AdvancedMiscellaneous si esta activa la opción Default gateway switching.
    crea un crupo de gateways Wan en SystemRouting/Gateway Groups todos con el mismo Tier.
    y en la regla o reglas del firewall Lan edita en opciones avanzadas y coloca el grupo de gateways.



  • @wmorales perfecto esa opción en Advanced\Miscellaneous no la conocía debe ser por eso que no me funciono el balanceo.

    Pero quizas no me exprese bien en mi problema original, dado que lo que necesito es que cierto rango de una vlan o diferente vlans salgan por distintos ISP. Que quiero decir:

    Ejemplo

    Vlan 1: 192.168.1.0/24 salga por WAN 1.

    Vlan 2: 192.168.2.0/24 salga por la WAN 2.

    o

    Vlan 1: 192.168.1.1 -192.168.1.50 salga por la WAN 1
    Vlan 2: 192.168.2.1-192.168.1.50 salga por WAN 1

    Vlan 1: 192.168.1.51-192.168.1.254 salga por la WAN 2
    Vlan 2: 192.168.2.51-192.168.2.254 salga por la WAN 2.

    a eso me refiero. Gracias y Saludos, de apoco voy conociendo más del tema.



  • para ello es tal cual te dije anteriormente para eso usas los gateways

    @wmorales said in SQUID + 2 WAN + Varias LAN:

    y en la regla o reglas del firewall Lan edita en opciones avanzadas y coloca el grupo de gateways.



  • @wmorales Ok, voy a probar esas configuraciones y te comento. Ah tengo instalado Squid, No el Squid3 , no se como estas vos con esa versión, saludos.



  • @esquirla, uso el squid y el squidguard no transparente con ldap hasta ahora filtrando bien.



  • No se enrenden.

    Si usas proxy en el mismo pfsense (se entiende squid instalado en el firewall perimetral). Las reglas LAN te las mata el squid. es decir el balanceo no lo va a realizar ya que squid saldra por su default gateway (todo lo que es navegacion)



  • @j-sejo1 Hola gracias por participar, pero... Y entonces como se realiza esto que consulto? Gracias



  • Lo que pasa es lo siguiente, omitamos por un momento el tema proxy (squid).

    Cuando uno tiene N cantidad de wan, por ej wan1, wan2 y wan3, de diferentes ISP, tu puedes mediante las reglas de firewall, decirle a una VLAN o RED por que ISP va a salir. Puede hacer Balanceo simultaneo, puedes configurar contingencia (trigger) por ej: si wan 1 se cae, que se vaya por la 3 y luego por la 2. o viceversa. Junto con el Misceláneos que te han recomendado en el presente hilo. Todo esta bien.

    El Detalle viene y te cambiar el escenario es cuando utilizas "Proxy Transparente" por que? por que al activarlo por defecto todo el trafico de navegacion (http, https, etc) Se va ir por el SQUID. Y al llegar al Squid el saldrá por su default gateway (del pfsense) es decir por wan1 o wan2 o wan3. Por una de ellas. Esto te mata enseguida las reglas de balanceo que pudieras tener con tus redes o con tus vlans.

    Existen procedimientos ( no los he probado) para balancear a nivel de squid, pero es cuestión de ensayo y error y ver hasta que punto es factible. (en este hilo te colocaron una idea, y el link que yo te mande)

    Que hago yo? cuando tengo redes grandes, de mas 200 usuarios, servidores, segmento DMZ, vlans, etc. Yo NO acostumbro a utilizar "Proxy transparente". Yo prefiero el proxy Autenticado (no transparente) y dedicado, es decir el squid en otro servidor bien sea en la lan o en la dmz, con pfsense o con otro linux, pero dedicado, es decir no lo uso (el squid) en el mismo Pfsense-perimetro.

    Que ocurre con esto? Por defecto nadie, pero nadie (salvo el director y uno que otro gerente) me navega directo a internet. es decir que ajuro el usuario debe configurar Proxy para poder navegar.

    El proxy dedicado al ser un servidor Mas en una red. X a nivel de Pfsense, allí si aplico política de balanceo o contingencia a nivel de regla de firewall. (ojo con el Balanceo https, ya es otro tema que te vas a conseguir mas adelante).

    Al fin y al cabo, el proxy solo me va a regular el acceso a internet. Pero si algun usuario en especifico necesita salir por una WAN puntual (nat de salida, un ssh, un ftp, un ping, etc) es simple, no va por proxy para la URL que necesite llegarle, solo la Url si quiero ser paranoico.

    Es cuestión de ver el escenario que mas te convenga.

    Todo esta en probar, ensayo y error y por alli iras armando lo que mas te convenga.