Dual-wan y problemas con balanceo de carga en paginas https



  • Buenas, alguien pudo implementar el balanceo de carga a traves de 2 (o mas) wan, de distintos proveedores?
    He seguido distintos metodos y guias que se encuentran al respecto, pero falla al momento de mantener las conexiones, sbre todo en paginas seguras y con login (ej. Afip, HomeBanking, etc)
    Estoy llegando al punto de que no es posible dentro de PfSense, tan solo hacer wan failover, pero no balanceo.
    Lo probado hasta ahora incluye balanceo puro, balanceo + failover, balanceo y envio de https por una regla de firewall a una wan especifica y otros intentos, pero tengo problemas del lado LAN con muchas otras paginas)
    PfSense esta actuando como firewall/router y no tengo aplicaciones detras que brinden servicios hacia internet, tan solo administro la salida de los clientes



  • @inacom_sj Si haces balanceo WAN para internet, el problema lo vas a tener con las conexiones Seguras (HTTPS), al entrar a una pagina para hacer login (ej un Banco) esa petición de login y password se va por WAN1, pero a lo mejor al cabo de unos minutos, haces X click y se va por WAN 2. en ese momento al pagina del Banco detecta que desde la IP de origen no has iniciado sesión, por eso te casa.

    Si mal no recuerdo , tengo rato que no uso (multiwan) todavía no existe un botón que mantenga la conexión persistente para SSL.

    Que hago yo? Creo una regla de firewall puntual para todo lo que sea HTTPS (o solo paginas puntuales ej Bancos) y lo mando por un solo enlace WAN pero bajo política de alta disponibilidad, si se cae WAN1, la regla aplicara para WAN2.

    De esta forma no colapso un solo enlace, sabiendo que hoy en dia cualquier pagina asi sea solo informativa con HTML plano, ya va por HTTPS (SSL). Por eso te recomiendo el alias de Bancos.

    Cuando me paso, los casos puntuales fueron Banco. Del esto. todo funciono normal.



  • @j-sejo1 Existe algo Sticky Connections

    Pero nunca me ha funcionado.



  • @j-sejo1 Gracias por tu interes.
    He probado con sticky conn, cambiandole el tiempo para que mantenga las conexiones por mas tiempo, pero sin suerte.
    Por ahora estoy haciendo distribucion de carga, enviando las distintas subredes por una wan o por otra con reglas en la interface LAN y el gateway por cual salir, pero estoy lejos de lograr un balanceo automatico o, mejor aun, un bonding de proveedores.
    Hice tambien la prueba de seleccionar todo el trafico por el puerto 443 y forzar la salida por una WAN especifica, pero me llovian reclamos de problemas con dichas paginas.
    Volviendo a como estoy trabajando ahora, cuando estoy detras de una sub red "forzada" a la segunda WAN, el comando tracert resuelve por la primera...¿?¿?¿?¿?
    Lo otro a resolver seria una regla en el caso que me falle el serivicio del proveedor "forzado"
    b9815cd1-79e5-4941-9ff0-c1441b73cbd7-imagen.png


  • Rebel Alliance

    "Tracert" = ICMP

    ICMP != TCP



  • @ptt 😁 Entendido!
    He visto que en el pasado has "tocado" el tema en el foro, sabras si al dia de hoy existe algo que se acerque a una solucion respecto a este tema?
    OT: soy del interior de Santa Fe, por lo que veo sos de Argentina tambien


  • Rebel Alliance

    Lamentablemente, la situación no ha cambiado respecto al tema "Balanceo vs. HTTPS"

    Las 2 opciones siguen siendo "Sticky" y "Policy Routing"


Log in to reply