Load Balancer e Failover



  • Ciao ho sperimentato con successo sia il Load Balancer che il Failover seguendo sostanzialmetne questi due videotutorial:

    Youtube Video

    e questo:

    Youtube Video

    Come ho detto sopra sembra che funzioni tutto, ma ci sono alcuni dubbi che vorrei chiarire qui con voi. Una cosa alla volta allora.
    Per la WAN1 ho utilizzato la connessione classica via cavo per la WAN2 ho utlizzato invece come fonte la connessione di un cellulare in tethering.

    Nel secondo video l'autore dopo avere settato i gateway e il gruppo fa riferimento ad un opzione in Advanced->Miscellaneous, tale "Default gateway switching" che deve essere abilitata spuntando "enable default gateway switching". Il problema che fa riferimento ad una versione più vecchia della 2.4.4 di pfsense e infatti sulla mia versione nuova quella opzione in Miscellaneous non c'è.
    Leggendo in giro pare che le nuove versioni utilizzino un sistema differente. Forse c'è qualche settaggio da fare qui:

    alt text

    Però non vorrei fare casini, perchè adesso funziona tutto e non vorrei ritrovarmi a smaddonare come l'ultima volta ☺ ☺
    Potete aiutarmi a capire queste impostazioni e il loro significato?
    Grazie



  • Ciao,
    È come immagini.
    Nelle nuove versioni puoi indicare come gateway un gruppo che fa load balancer o fault tolerance
    Ciao Fabio



  • @fabio-vigano

    Un attimo, scusami. Non ho capito.
    Quale sarebbe la differenza "Tra indicare come un gruppo che fa load balancer o fault tolerance" e come ho impostato tutto ora, visto che almeno apparentemente funziona tutto? Poi nell'immagine sopra in il default gateway IPV4 è settato su Automatic. È qui che dovrei agire?
    Grazie


  • LAYER 8

    cosa esattamente non capisci? sulla foto che hai messo puoi semplicemente impostare quale gateway vuoi come predefinito



  • @kiokoman

    Non capisco quale sia la differenza e le conseguenze nel lasciare "default gateway IPV4" in "automatic" o scegliere le altre voci come il gruppo appena creato. COsa succede per le varie impostazioni se una WAN ad esempio salta.
    Grazie


  • LAYER 8

    fai un backup, sperimenta e al massimo ripristini, comunque quella impostazione serve a chi ha più di una wan e se vuole essere sicuro che di default venga usata una specifica wan la imposta li.
    in realtà se hai un solo gruppo che tu lo metta in automatico o selezioni il gruppo non cambia nulla



  • @kiokoman

    ok, faccio delle prove.
    Mi interessa sapere pure se adesso che ho impostato il failover seguendo i tutorial di cui sopra, il funzionamento corretto di OpenVPN possa essere in qualche modo compromesso.
    Grazie


  • LAYER 8

    se hai impostato e stai usando il dns dinamico non succede nulla



  • ciao @senseiluke,
    in pfsense tutte le interfacce sono paritetiche ad eccezione della prima wan configurata che per questo è anche l'unica interfaccia che non può essere eliminata.
    Detto questo, la prima wan configurata è considerata il default gateway.
    Se si seleziona quindi default gw tutto il traffico uscirà dalla prima wan configurata coerentemente con la tabella di routing.
    Se invece definisci un gruppo e lo imposti come default gw, sei tu a decidere le regole di instradamento sulle wan. Questo ti permette di configurare meccanismi di fault tolerance o load balancing.
    Nelle rules è possibile scegliere un gw di specifico, un gruppo o il default gw. Di default le regole vengono create in modo da usare il default gw impostato nella schermata di cui hai postato lo screenshot.
    Quindi oltre alla tabella di routing devi fare attenzione a come sono definite le regole per smistare correttamente il traffico.

    Ogni volta che lasci la configurazione in modo che agisca in automatico vale quanto presente nella tabella di routing.

    L'aspetto del routing è spesso sottovalutato, ma se non si comprende il suo funzionamento è difficile riuscire a capire esattamente cosa faccia pfSense e che percorso facciano i pacchetti in entrata ed uscita dal firewall.

    Spero di essere riuscito ad essere chiaro.
    Ciao Fabio



  • @senseiluke said in Load Balancer e Failover:

    @kiokoman

    ok, faccio delle prove.
    Mi interessa sapere pure se adesso che ho impostato il failover seguendo i tutorial di cui sopra, il funzionamento corretto di OpenVPN possa essere in qualche modo compromesso.
    Grazie

    In caso di multi wan devi fare attenzione a quale wan utilizzi per pubblicare il server vpn. Se vuoi pubblicare il server su entrambe le wan hai 2 possibilità: creare due server vpn indipendenti (te lo sconsiglio) o mettere in ascolto il server vpn sulla lan e poi creare due nat (uno per wan) per pubblicare un unico server su due wan.

    Ciao Fabio



  • @kiokoman

    giusto per essere sicuro dove controllo questa impostazione



  • @fabio-vigano

    in che senso "mettere in ascolto il server vpn sulla lan e poi creare due nat (uno per wan) per pubblicare un unico server su due wan"
    Potresti specificare?
    Grazie



  • Il server openvpn deve ascoltare su un interfaccia, di default è selezionato wan ergo se hai un multi wan ti funzionerebbe solo sulla prima wan. Per ovviare al problema metti in ascolto sulla lan e poi fai nat dalla wan porta 1194 udp alla lan porta 1194 udp, la stessa regola di nat la fai per la wan2 così puoi collegarti in vpn su entrambe le wan
    Ciao Fabio



  • @fabio-vigano
    Port forwarding allora?
    Hmm penso di aver capito.
    Grazie



  • si, esatto, di fatto è un NAT poi viene chiamato spesso in altro modo, da port forwarding a server (sui router telecom)
    Fabio



  • @fabio-vigano said in Load Balancer e Failover:

    si, esatto, di fatto è un NAT poi viene chiamato spesso in altro modo, da port forwarding a server (sui router telecom)
    Fabio

    Ok, adesso è un po' più chiaro.
    Non avendo conoscenze solide sul networking mi trovo spesso ad annaspare con le terminologie e i spesso pure i concetti di base
    Grazie



  • @senseiluke se ti affascina il mondo delle reti e vuoi padroneggiare meglio i vari concetti, devi assolutamente leggere "reti di calcolatori" di Andrews Tanenbaum
    Ciao Fabio



  • @fabio-vigano
    Ho letto "Computer_Networking " di Kurose-Ross più tanti articoli e tutorial. Mi sono reso conto che più leggo e più c'è da imparare, oltre a prendere coscienza delle mie lacune. Purtroppo sono partito ad interessarmi di reti abbastanza tardi e se potessi tornare indietro prenderei un percorso di studi diversi che comprenda almeno questa materia.
    Faccio tutt'altro e ho una certa età. Faccio quello che posso con il tempo a disposizione. Più che altro mi diverto e imparo cose che potrebbero comunque tornare utili come più volte è successo in effetti. Diciamo che per Natale invece del solito maglione o del "giocattolino" elettronico mi sono regalato un pfSense ☺ , che in pratica non mi è costato niente visto che avevo un pc buttato da parte che mi era stato pure regalato (più che sufficiente per farci girare bene pfsense comunque); ho dovuto comprare solo due schede di rete.

    Ritornando al tema originale.
    Mi servirebbe capire un'altra cosa.
    Il Load balancer serve ad alleggerire il carico del traffico proveniente dalla LAN su più connessioni (il più delle volte solo due) in caso di bisogno, ma non è come se raddoppiassi la banda effettivamente. Voglio dire se dalla WAN1 (ISP_a) ho 50Mb/s di banda a disposizion e dalla WAN2(ISP_b) ho altri 50 non è che se vado a fare lo speed test mi ritrovo con 100 Mb/s? Verrà utilizzata solo una linea. Giusto?
    Grazie



  • @senseiluke said in Load Balancer e Failover:

    Mi servirebbe capire un'altra cosa.
    Il Load balancer serve ad alleggire il carico del traffico proveniente dalla LAN su più connessioni (il più delle volte solo due) in caso di bisogno, ma non è come se raddoppiassi la banda effettivamente. Voglio dire se dalla WAN1 (ISP_a) ho 50Mb/s di banda a disposizion e dalla WAN2(ISP_b) ho altri 50 non è che se vado a fare lo speed test mi ritrovo con 100 Mb/s? Verrà utilizzata solo una linea. Giusto?
    Grazie

    Esatto, il load balancer distribuisce in modo roundrobin le connessioni sulle Wan del pool.
    Questo fa sì che con determinati protocolli si abbiamo dei malfunzionamenti. Esempio quando fai browsing Il tuo browser chiede la pagina index.html del sito e dopo averla letta avvia il download dei vari elementi (immagini, CSS, ha ecc...) Per ogni elemento apre una nuova sessione quindi se hai un bilanciamento su più wan, ricevi un po' di elementi da ogni connettività. Questo in https non è possibile perché viene interpretato come un errore.
    La cosa migliore è analizzare il proprio traffico e cercare di bilanciare il traffico in modo statico facendo uscire un certo protocollo sempre da una stessa Wan.
    Es: http ed https da wan1, FTP, POP3 e IMAP da wan2
    In questo tipo di configurazione userei comunque un gruppo di fault tolerance in modo che se una Wan cade viene usata l'altra.
    Ciao Fabio


Log in to reply