Squid não respeita failover

paulotrivell

Prezados!
Tenho o pfsense ver. 2.4.0, com 2 links de internet, failover, squid e squidguard habilitados.
A Wan1 é a default nas regras de roteamento, porém nas regras do firewall deixei o failover colocando como 1º o link da Wan2. O failover funciona normalmente fora do proxy, mas na porta 3128 do proxy, o PF não está respeitando essa regra e só navega pelo gateway default do PFSense.

Esse problema aconteceu após a queda da Wan2 na tarde de ontem e desde então não consigo fazer com que o PFSense respeite as regras de LAN no firewall.

Desde já agradeço a ajuda!

Paulo

marcelloc

As regras da lan são para trafego que passam pelo firewall entrando pela lan e saindo pela wan/wan2.

O trafego do squid é da lan para um daemon local e sua saida é do daemon local para a wan/wan2. A unica regra da lan que vai dar match para o squid é a que libera acesso a porta 3128 local.

paulotrivell

@marcelloc Boa tarde Marcelo!
Sim, concordo sobre a aplicação da regra do firewall sobre a porta do Squid (3128), porém desde ontem após a queda do link, o Squid não está mais respeitando essa regra.
Existe alguma forma de forçar o Squid a obedecer essa regra novamente?

Grato!

marcelloc

Paulo, se a regra está habilitada o firewall "respeita" ela. Mas como disse, regra na lan para o squid não tem como aplicar balanceamento de link.

O que exatamente parou de funcionar depois da queda de energia?

paulotrivell

@marcelloc Antes da queda da Wan2, o gateway default era a Wan1 e no firewall a porta 3128 estava configurada para usar a Wan2. As conexões com proxy saiam pela Wan2 sem problema.

Depois da queda da Wan2, o squid começou a usar o gateway default (Wan1).
Mesmo com o firewall apontando a porta 3128 para a Wan2 o Squid no obedece.
Fiz o teste de mudar o gateway default para a Wan2 e a regra no firewall da porta 3128 para a Wan1. O squid mudou navegação para a Wan2 e desconsiderou novamente a regra do firewall.

marcos.lang

Paulo, acredito que o gateway da regra do Squid (porta 3128) deva ser "*".
O gateway group do failover deve ser usado apenas na(s) regra(s) de saída para a internet.
Podes testar e dizer se funcionou?

paulotrivell

@marcos-lang Marcos!

Continua não respeitando a regra do firewall, somente o gateway definido como padrão no PF.

marcos.lang

Considerando que o gateway está definido corretamente nas regras, por favor, verifique se funciona marcando a seguinte opção:
System > Advanced > Miscellaneous > Default gateway switching > marque Enable default gateway switching > Save.

marcelloc

Este é o ponto. A regra que permite o acesso das maquinas para o squid, não pode ter gateway definido porque o destino é a propria máquina.
Sua regra está dizendo para o firewall encaminhar a requisição para a wan2 no lugar de encaminhar para o squid.

marcos.lang

Reforçando o que o @marcelloc disse, em tese, terias que ter em Rules > LAN, minimamente, as seguintes regras:
Protocol IPv4 TCP
Source (rede interna)
Port * (todas)
Destination This Firewall
Port 3128
Gateway *

E, mais abaixo, uma regra para sair para a internet:
Protocol IPv4 *
Source (rede interna ou, caso queiras limitar a saída para a internet apenas pelo proxy, IP do proxy)
Port * (todas)
Destination *
Port 80 e 443 (ou * caso queiras todas)
Gateway (failover gateway group)

@marcelloc, por favor, me corrija se eu estiver errado!