Balanceo de Carga y Persistencia.



  • Hola a tod@s,

    ESCENARIO. Les expongo mi escenario:

    Tengo un pfSense con 3 interfaces WAN (WAN1, WAN2, WAN3) y 1 LAN (LAN0).

    En cada una de las WAN tengo conectado un router de un Operador.

    La WAN1 la tengo establecida como Default Gateway.

    Tengo creado un Gateway Group para realizar Load Balancing y Failover.

    RT-GRP1 (WAN2-Tier1 / WAN3-Tier1 / WAN1-Tier2)

    Es decir, hago Balanceo de Carga por WAN2 y WAN3, y si caen, hago Failover hacia la WAN1.

    Sobre la LAN tengo creadas sub-interfaces (LAN0.10, LAN0.20, LAN...) que le dan servicio a distintas VLAN que tengo creadas.

    Sobre la LAN0 tengo establecidas algunas reglas que fuerzo cierto tráfico proveniente de la LAN0 a salir por las WAN1.

    Al final de la lista de reglas de la LAN0 tengo una regla definiendo que el resto del tráfico, no "matcheado" hasta el momento, por ejemplo HTTP, me lo saque por el RT-GRP1.

    POBLEMAS:

    • El tráfico en la lista de reglas de la LAN nunca llega a la regla DROP, evidentemente, porque, como último recurso, siempre "matchea" con la regla del RT-GRP1. Me imagino que tendría que granular más esta regla definiendo tráfico específico hacia el RT-GRP1 y que el resto me llegue a la regla DROP.

    • Desde la LAN0, si un equipo intenta hacer Ping hacia equipos de las distintas VLAN, no llega, salvo que cree una regla en la LAN0 especificando como Gateway el Default Gateway definido en el pfSense en vez del RT-GRP1. Me imagino que, aunque son redes directamente conectadas al pfSense, este lo está forzando a salir por el RT-GRP1.

    • En cuanto a la Persistencia. Cuando el tráfico de un equipo llega al RT-GRP1, lo va alternando entre las 2 WAN con Tier1 definidos en el Gateway Group, es decir, si abro una página, por ejemplo, la de Cual es mi IP, y voy refrescando, me va alternando entre las IP de la WAN2 y la WAN3, vamos, que hace un Round-Robin puro y duro.

    Para una navegación normal, no hay problemas, pero, como sabemos, hay servicios (Banca, Administración Pública, etc...) que, al detectar que el tráfico de una sesión le llega por IP distinta, te tira la sesión, es decir, necesitan Persistencia. ¿No hay forma de establecer está persistencia, que el tráfico de un equipo al llegar al RT-GRP1 y lo tire, por ejemplo, por la WAN3, todo el tráfico lo siga tirando por esa WAN3 hasta que pase un tiempo o en base hasta otro parámetro?.

    ¿Algunas recomendaciones que puedan mejorar esta configuración, basados en el escenario comentado y según su experiencia, o todo pasaría por una definición de la lista reglas más granular?. Claro, el problema estaría en que no se conoce, en muchas ocasiones, las IP de los Sistemas Destino o son un Pool de IP.

    Saludos y gracias,

    Ramsés



  • Buenas tardes,

    ¿Nadie tiene otra idea de cómo solucionar los inconvenientes que me encuentro con esta configuración?

    Gracias y disculpen la insistencia.