Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    SQUID + 2 WAN + Varias LAN

    Scheduled Pinned Locked Moved Español
    15 Posts 4 Posters 1.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • E
      Esquirla
      last edited by

      Gente necesito que me ayuden a entender algo. Tengo instalado la última versión de pfsense +squid (no transparente) +squidGuard, para lo cual todos los que están detrás de la Lan navegan sin problemas pero lo hacen por el WAN1 default.

      Necesito que algunas VLAN o determinadas ip salgan por otra WAN2. Las VLAN no estan creadas en pfsense.

      Intente creando una regla en Rules\LAN :
      Protocol Source Port Destination Port Gateway
      IPv4 TCP VLAN1 * WAN2 * Gateway de WAN2

      Tambien probe cambiando VLAN1 por la ip especifica pero no funciona.

      Esto cuando lo tenía en modo transparente (en un pfsense que se usaba antes) funcionaba correctamente.

      Nota: La wan2 funciona correctamente, lo comprobé pasando a default.

      Agradezco todo tipo de ayuda. Muchas Gracias.

      1 Reply Last reply Reply Quote 0
      • J
        j.sejo1
        last edited by

        Cuando en Pfsense utilizas Proxy (squid). el, por defecto como equipo navega por su default gateway.

        Creo haber leido por alli que existe una forma para lograr que el squid balancee en sus N wan.

        Este link de javcasta te puede ayudar a aclarar dudas.

        https://www.javcasta.com/procedimiento-pfsense-2-2-6-amd64-con-squid-en-entorno-multiwan/

        Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
        Hardening Linux
        Telegram: @vtlbackupbacula
        http://www.smartitbc.com/en/contact.html

        1 Reply Last reply Reply Quote 0
        • gersonofstoneG
          gersonofstone
          last edited by

          Para eso debes entrar a Squid General Settings/Advanced Features/Custom Options
          y agregar algo asi:

          acl acl-network_servers src 192.101.91.0/24
          tcp_outgoing_address 192.168.1.10 acl-network_servers

          192.168.1.10 - es la IP del WAN 2 de mi fw

          Papu!! :V

          1 Reply Last reply Reply Quote 0
          • W
            wmorales
            last edited by

            la opción del configuración en el Firewall es la que uso para ese tipo de requerimientos sin problemas lo único es que no están inmediato el cambio ya que las maquinas ya tienen una ruta por donde ir.

            1 Reply Last reply Reply Quote 0
            • E
              Esquirla
              last edited by

              Gente muchas gracias por su respuesta, no tuve tiempo de probar esas configuraciones que me estan diciendo.
              @wmorales esto que me comentas es para Squid como Proxy Explicito? saludos.

              1 Reply Last reply Reply Quote 0
              • W
                wmorales
                last edited by

                si para proxy explicito, por ejemplo el que tengo configurado tiene 3 enlaces wan y balanceado de gateways .

                E 1 Reply Last reply Reply Quote 0
                • E
                  Esquirla @wmorales
                  last edited by Esquirla

                  @wmorales mira que raro yo no puedo hacer funcionar dos wan para que distintas vlan salgan por distintos wan.

                  Si no es mucha molestias, podrías compartir tu configuración de esas reglas del firewall, si estan a nivel de Wan o Lan, por lo menos de forma genérica para darme una idea? muchas gracias.

                  1 Reply Last reply Reply Quote 0
                  • W
                    wmorales
                    last edited by

                    bueno por lo general para este tipo de casos las reglas se aplican en la Lan, ahora si quieres balancear los gateways sigue estos pasos:
                    verifica en System/AdvancedMiscellaneous si esta activa la opción Default gateway switching.
                    crea un crupo de gateways Wan en SystemRouting/Gateway Groups todos con el mismo Tier.
                    y en la regla o reglas del firewall Lan edita en opciones avanzadas y coloca el grupo de gateways.

                    E 1 Reply Last reply Reply Quote 0
                    • E
                      Esquirla @wmorales
                      last edited by

                      @wmorales perfecto esa opción en Advanced\Miscellaneous no la conocía debe ser por eso que no me funciono el balanceo.

                      Pero quizas no me exprese bien en mi problema original, dado que lo que necesito es que cierto rango de una vlan o diferente vlans salgan por distintos ISP. Que quiero decir:

                      Ejemplo

                      Vlan 1: 192.168.1.0/24 salga por WAN 1.

                      Vlan 2: 192.168.2.0/24 salga por la WAN 2.

                      o

                      Vlan 1: 192.168.1.1 -192.168.1.50 salga por la WAN 1
                      Vlan 2: 192.168.2.1-192.168.1.50 salga por WAN 1

                      Vlan 1: 192.168.1.51-192.168.1.254 salga por la WAN 2
                      Vlan 2: 192.168.2.51-192.168.2.254 salga por la WAN 2.

                      a eso me refiero. Gracias y Saludos, de apoco voy conociendo más del tema.

                      1 Reply Last reply Reply Quote 0
                      • W
                        wmorales
                        last edited by

                        para ello es tal cual te dije anteriormente para eso usas los gateways

                        @wmorales said in SQUID + 2 WAN + Varias LAN:

                        y en la regla o reglas del firewall Lan edita en opciones avanzadas y coloca el grupo de gateways.

                        E 1 Reply Last reply Reply Quote 0
                        • E
                          Esquirla @wmorales
                          last edited by

                          @wmorales Ok, voy a probar esas configuraciones y te comento. Ah tengo instalado Squid, No el Squid3 , no se como estas vos con esa versión, saludos.

                          W 1 Reply Last reply Reply Quote 0
                          • W
                            wmorales @Esquirla
                            last edited by

                            @esquirla, uso el squid y el squidguard no transparente con ldap hasta ahora filtrando bien.

                            1 Reply Last reply Reply Quote 0
                            • J
                              j.sejo1
                              last edited by

                              No se enrenden.

                              Si usas proxy en el mismo pfsense (se entiende squid instalado en el firewall perimetral). Las reglas LAN te las mata el squid. es decir el balanceo no lo va a realizar ya que squid saldra por su default gateway (todo lo que es navegacion)

                              Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
                              Hardening Linux
                              Telegram: @vtlbackupbacula
                              http://www.smartitbc.com/en/contact.html

                              E 1 Reply Last reply Reply Quote 0
                              • E
                                Esquirla @j.sejo1
                                last edited by

                                @j-sejo1 Hola gracias por participar, pero... Y entonces como se realiza esto que consulto? Gracias

                                1 Reply Last reply Reply Quote 0
                                • J
                                  j.sejo1
                                  last edited by j.sejo1

                                  Lo que pasa es lo siguiente, omitamos por un momento el tema proxy (squid).

                                  Cuando uno tiene N cantidad de wan, por ej wan1, wan2 y wan3, de diferentes ISP, tu puedes mediante las reglas de firewall, decirle a una VLAN o RED por que ISP va a salir. Puede hacer Balanceo simultaneo, puedes configurar contingencia (trigger) por ej: si wan 1 se cae, que se vaya por la 3 y luego por la 2. o viceversa. Junto con el Misceláneos que te han recomendado en el presente hilo. Todo esta bien.

                                  El Detalle viene y te cambiar el escenario es cuando utilizas "Proxy Transparente" por que? por que al activarlo por defecto todo el trafico de navegacion (http, https, etc) Se va ir por el SQUID. Y al llegar al Squid el saldrá por su default gateway (del pfsense) es decir por wan1 o wan2 o wan3. Por una de ellas. Esto te mata enseguida las reglas de balanceo que pudieras tener con tus redes o con tus vlans.

                                  Existen procedimientos ( no los he probado) para balancear a nivel de squid, pero es cuestión de ensayo y error y ver hasta que punto es factible. (en este hilo te colocaron una idea, y el link que yo te mande)

                                  Que hago yo? cuando tengo redes grandes, de mas 200 usuarios, servidores, segmento DMZ, vlans, etc. Yo NO acostumbro a utilizar "Proxy transparente". Yo prefiero el proxy Autenticado (no transparente) y dedicado, es decir el squid en otro servidor bien sea en la lan o en la dmz, con pfsense o con otro linux, pero dedicado, es decir no lo uso (el squid) en el mismo Pfsense-perimetro.

                                  Que ocurre con esto? Por defecto nadie, pero nadie (salvo el director y uno que otro gerente) me navega directo a internet. es decir que ajuro el usuario debe configurar Proxy para poder navegar.

                                  El proxy dedicado al ser un servidor Mas en una red. X a nivel de Pfsense, allí si aplico política de balanceo o contingencia a nivel de regla de firewall. (ojo con el Balanceo https, ya es otro tema que te vas a conseguir mas adelante).

                                  Al fin y al cabo, el proxy solo me va a regular el acceso a internet. Pero si algun usuario en especifico necesita salir por una WAN puntual (nat de salida, un ssh, un ftp, un ping, etc) es simple, no va por proxy para la URL que necesite llegarle, solo la Url si quiero ser paranoico.

                                  Es cuestión de ver el escenario que mas te convenga.

                                  Todo esta en probar, ensayo y error y por alli iras armando lo que mas te convenga.

                                  Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
                                  Hardening Linux
                                  Telegram: @vtlbackupbacula
                                  http://www.smartitbc.com/en/contact.html

                                  1 Reply Last reply Reply Quote 0
                                  • First post
                                    Last post
                                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.