Duas WAN / Regras acesso



  • Olá pessoal, tenho um ambiente com captive portal + squid / squidguard. Nesse ambiente tenho dois links de internet.
    Minha dúvida é o seguinte: tenho uma faixa de IPS ( vamos chamar Visitantes) e outra faixa Funcionários. Os visitantes só devem navegar pela internet A. Os funcionários devem navegar pela internet A tbm. Mas, se o link internet A cair, automaticamente somente os funcionários devem começar a navegar na internet B.

    Resumindo, visitante só navega pelo link A e funcionários por A e B ( B somente se A cair).

    Tentei criar por regra no firewall, mas, não deu certo... Não sei se deixei passar algo. Alguém sabe como ajustar esse cenário?



  • Por "faixa de IPS" entendam RANGE.



  • @ironlion Pesquise sobre Failover de GTW que vc vai encontrar exatamente o que vc quer.



  • Opa! Já está configurado failover para o range Funcionários.

    Minha duvida seria mais nas regras de firewall, tenho duas regras apenas:

    1 - Range de IPs visitantes com gateway WAN1 (internet A).

    2 - Range de IPs funcionários com gateway failover.

    Nos testes que fiz apos o link A cair, o B assumiu automaticamente para os range funcionários. O problema é que os vistantes também começaram a sair por essa WAN (mesmo com a regra deles dizendo que o gateway era apenas a outra WAN).



  • @ironlion Nas Regras do Firewall, como está a ordem das posição das regras??

    #Dica: A regra que utiliza GTW com Failover tem que estar abaixo da regra com GTW normal.
    O pfSense sempre le as regras de cima para baixo.



  • 0_1533068447349_Sem título.jpg

    Para usar Captive Portal + Squid, essa regra anti-lockout já funciona bem? Meu proxy é transparente.



  • @ironlion Em Roteamento, qual é GTW está marcado como padrão?



  • WANGW1



  • @ironlion said in Duas WAN / Regras acesso:

    Olá pessoal, tenho um ambiente com captive portal + squid / squidguard. Nesse ambiente tenho dois links de internet.

    Como o squid é um daemon que roda no próprio firewall, as regras da lan que definem o gateway não se aplicam a ele.

    Na 2.4.4 uma das mudanças anunciadas é que o default gateway já pode ser um grupo de gateway. Essa novidade resolve parcialmente seu problema.



  • @marcelloc said in Duas WAN / Regras acesso:

    @ironlion said in Duas WAN / Regras acesso:

    Olá pessoal, tenho um ambiente com captive portal + squid / squidguard. Nesse ambiente tenho dois links de internet.

    Como o squid é um daemon que roda no próprio firewall, as regras da lan que definem o gateway não se aplicam a ele.

    Na 2.4.4 uma das mudanças anunciadas é que o default gateway já pode ser um grupo de gateway. Essa novidade resolve parcialmente seu problema.

    Tem alguma forma de resolver esse cenario de uma wan cair e a range de ips parar de navegar, e, somente a outra range continuar no link secundario de wan?



  • @ironlion, se uma faixa puder ficar sem proxy, você resolve com regra de firewall.



  • @marcelloc said in Duas WAN / Regras acesso:

    @ironlion, se uma faixa puder ficar sem proxy, você resolve com regra de firewall.

    Se é uma alternativa pra ter esse cenário, vou levar em consideração. Ruim que perco o filtro web do squidguard...
    Pra configurar essa exceçao de range pra não sair pelo squid, configuro dentro do serviço mesmo?



  • @ironlion , uma alternativa é criar acls na mão usando o tcp_outgoing_address do squid.

    Dessa forma da para usar as duas faixas, cada uma saindo pelo seu próprio ip.



  • @marcelloc said in Duas WAN / Regras acesso:

    @ironlion , uma alternativa é criar acls na mão usando o tcp_outgoing_address do squid.

    Dessa forma da para usar as duas faixas, cada uma saindo pelo seu próprio ip.

    Caro Marcelo, não achei na interface do serviço do squid essa opção de tcp_outgoing_address. Pode indicar onde faço essa alteração por gentileza?