Gateway Groups - FailOver não está funcionando



  • Bom dia Pessoal.

    eu tenho 1 firewall em especifico com configurações abaixo, o mesmo tem um gateway groups configurado e setado na regra padrão de LAN, mesmo assim lá em gateways um dos meus links fica setado sempre como primário e a regra padrão não respeita o grupo de FailOver. Alguém já teve esse problema?

    Seria algum problema desconhecido, tenho diversos outros ambientes e nao me recordo de ter esse problema.

    • configurações do firewall:
      -2 links de internet
      -proxy ativo autenticado com AD
      -squidguard

    2_1529497626546_Screenshot_3.png 1_1529497626544_Screenshot_2.png 0_1529497626544_Screenshot_1.png



  • O trafego que passa pelo squid, não vai passar pela regra de gateway group.



  • Certo, eu achei um topico falando sobre isto, agora uma dúvida se eu redirecionar o trafego conforme esta regra abaixo, funcionaria?

    obrigado Marcelo.0_1529589586402_Screenshot_5.png



  • @rvl said in Gateway Groups - FailOver não está funcionando:

    Certo, eu achei um topico falando sobre isto, agora uma dúvida se eu redirecionar o trafego conforme esta regra abaixo, funcionaria?

    obrigado Marcelo.0_1529589586402_Screenshot_5.png

    Não. se olhar no arquivo /tmp/rules.debug, vai ver uma regra que permite qualquer acesso local direto pelo default gateway. Isso "invalida" qualquer tentativa de load balance para trafego gerado no próprio firewall, como é o caso dos proxies(squid, e2guardian, etc...).

    # let out anything from the firewall host itself and decrypted IPsec traffic
    pass out  inet all keep state allow-opts tracker 1000002665 label "let out anything IPv4 from firewall host itself"
    pass out  inet6 all keep state allow-opts tracker 1000002666 label "let out anything IPv6 from firewall host itself"
    


  • Agora entendi, e pesquisando por aqui no fórum terei que trabalhar com tcp_outgoing_address e regras de floating. Vi que na documentação do squid também tem bantante conteúdo.

    Bom pelo menos tenho um outro caminho.

    Obrigado Marcello.


Log in to reply