Squid não respeita failover

Reply to Squid não respeita failover on Wed, 04 Jul 2018 22:24:14 GMT

marcos.lang — Wed, 04 Jul 2018 22:24:14 GMT

Reforçando o que o @marcelloc disse, em tese, terias que ter em Rules > LAN, minimamente, as seguintes regras:
Protocol IPv4 TCP
Source (rede interna)
Port * (todas)
Destination This Firewall
Port 3128
Gateway *

E, mais abaixo, uma regra para sair para a internet:
Protocol IPv4 *
Source (rede interna ou, caso queiras limitar a saída para a internet apenas pelo proxy, IP do proxy)
Port * (todas)
Destination *
Port 80 e 443 (ou * caso queiras todas)
Gateway (failover gateway group)

@marcelloc, por favor, me corrija se eu estiver errado!

Reply to Squid não respeita failover on Wed, 04 Jul 2018 22:01:51 GMT

marcelloc — Wed, 04 Jul 2018 22:01:51 GMT

Este é o ponto. A regra que permite o acesso das maquinas para o squid, não pode ter gateway definido porque o destino é a propria máquina.
Sua regra está dizendo para o firewall encaminhar a requisição para a wan2 no lugar de encaminhar para o squid.

Reply to Squid não respeita failover on Wed, 04 Jul 2018 21:59:37 GMT

marcos.lang — Wed, 04 Jul 2018 21:59:37 GMT

Considerando que o gateway está definido corretamente nas regras, por favor, verifique se funciona marcando a seguinte opção:
System > Advanced > Miscellaneous > Default gateway switching > marque Enable default gateway switching > Save.

Reply to Squid não respeita failover on Wed, 04 Jul 2018 21:07:00 GMT

paulotrivell — Wed, 04 Jul 2018 21:07:00 GMT

@marcos-lang Marcos!

Continua não respeitando a regra do firewall, somente o gateway definido como padrão no PF.

Reply to Squid não respeita failover on Wed, 04 Jul 2018 20:40:32 GMT

marcos.lang — Wed, 04 Jul 2018 20:40:32 GMT

Paulo, acredito que o gateway da regra do Squid (porta 3128) deva ser "*".
O gateway group do failover deve ser usado apenas na(s) regra(s) de saída para a internet.
Podes testar e dizer se funcionou?

Reply to Squid não respeita failover on Wed, 04 Jul 2018 20:19:02 GMT

paulotrivell — Wed, 04 Jul 2018 20:19:02 GMT

@marcelloc Antes da queda da Wan2, o gateway default era a Wan1 e no firewall a porta 3128 estava configurada para usar a Wan2. As conexões com proxy saiam pela Wan2 sem problema.

Depois da queda da Wan2, o squid começou a usar o gateway default (Wan1).
Mesmo com o firewall apontando a porta 3128 para a Wan2 o Squid no obedece.
Fiz o teste de mudar o gateway default para a Wan2 e a regra no firewall da porta 3128 para a Wan1. O squid mudou navegação para a Wan2 e desconsiderou novamente a regra do firewall.

Reply to Squid não respeita failover on Wed, 04 Jul 2018 20:00:59 GMT

marcelloc — Wed, 04 Jul 2018 20:00:59 GMT

Paulo, se a regra está habilitada o firewall "respeita" ela. Mas como disse, regra na lan para o squid não tem como aplicar balanceamento de link.

O que exatamente parou de funcionar depois da queda de energia?

Reply to Squid não respeita failover on Wed, 04 Jul 2018 19:19:02 GMT

paulotrivell — Wed, 04 Jul 2018 19:19:02 GMT

@marcelloc Boa tarde Marcelo!
Sim, concordo sobre a aplicação da regra do firewall sobre a porta do Squid (3128), porém desde ontem após a queda do link, o Squid não está mais respeitando essa regra.
Existe alguma forma de forçar o Squid a obedecer essa regra novamente?

Grato!

Reply to Squid não respeita failover on Wed, 04 Jul 2018 19:13:12 GMT

marcelloc — Wed, 04 Jul 2018 19:13:12 GMT

As regras da lan são para trafego que passam pelo firewall entrando pela lan e saindo pela wan/wan2.

O trafego do squid é da lan para um daemon local e sua saida é do daemon local para a wan/wan2. A unica regra da lan que vai dar match para o squid é a que libera acesso a porta 3128 local.