FailOver PFSense - Sem troca automática
-
Olá pessoal.
Venho aqui demonstrar uma dificuldade que estou tendo com alguns clientes utilizando PFSense versão 2.7.2.
Na maioria, possuo clientes com dois links de internet atachados ao firewall, Link 01 e Link 02. Respectivamente, o IP que eles monitoram é o DNS da Google, 8.8.8.8 e 8.8.4.4.
Com eles, crio dois gateways e dois gateway groups, chamarei os grupos de FailOver 1 e FailOver 2, e a regra por trás deles é bem simples:
- Gateway Group 01:
- Link principal é o Link 01 (Tier 1). Caso o LINK 01 entre em estado de Packet Loss ou High Latency, o gateway principal será o Link 02 (Tier 2).
- Gateway Group 02:
- Link principal é o Link 02 (Tier 1). Caso o LINK 02 entre em estado de Packet Loss ou High Latency, o gateway principal será o Link 01 (Tier 2).
Porém, nenhum destes sequer funciona, ao realizarmos o teste removendo completamente o cabo ethernet do modem dos links do firewall. Acessando o menu de System > Routing, o símbolo de um globo que representa o gateway padrão não se move. Fizemos alguns testes para contornar essa situação.
- A opção "State Killing on Gateway Failure" que se encontra em System > Advanced > Miscellaneous está como "Flush all states on Gateway Failure";
- Trocamos a opção no gateway group de Packet Loss ou High Latency para apenas uma das opções, ou até mesmo como Member Down, porém mesmo removendo completamente o cabo da Interface, ela nunca fica como Member Down, e apenas como Packet Loss 100%;
- DNS Resolver, a opção "Outgoing Network Interfaces" está para apenas para sair pelos Link 01 e Link 02;
Estamos chegando a conclusão que possa ser um bug de versão, pois conversando com outras pessoas que possuem versões anteriores, elas não sofrem deste problema. O que fomenta mais essa teoria, é que, qualquer vez que salvemos e apliquemos as modificações da página System > Routing, aí sim o globo que indica o Gateway Padrão se mexerá para o outro link, porém a LAN ainda não navegará, e indicará um erro de DNS.
Alguém possui alguma ideia de onde podemos partir? Caso tenha esquecido de fornecer alguma informação, podem me solicitar.
-
@RaphaelEger EDIT: A única opção que funciona perfeitamente é quando setamos o gateway como "Automático". Ele se comporta de acordo, trocando de link quando um cai.
-
@RaphaelEger qual Monitor IP está usando?
-
tambem tenho esse problema em alguns pfsense. mesmo usando o monitor ip com algum dns tipo google , cloudflare isso acontece.
-
@nilldson said in FailOver PFSense - Sem troca automática:
tambem tenho esse problema em alguns pfsense. mesmo usando o monitor ip com algum dns tipo google , cloudflare isso acontece.
aqui funciona, você está usando gateway group nas regras da LAN?
-
@mcury em rules /lan / advanced?
nao... ficam todos no default e o gateway group configurado so la no roteamento -
@nilldson said in FailOver PFSense - Sem troca automática:
em rules /lan / advanced?
nao... ficam todos no default e o gateway group configurado so la no roteamentoda forma abaixo funciona perfeitamente.
-
@mcury interessante... nunca fiz dessa forma. vou testar na semana e posto o resultado.
Muito obrigado! -
@nilldson said in FailOver PFSense - Sem troca automática:
interessante... nunca fiz dessa forma. vou testar na semana e posto o resultado.
Muito obrigado!Usar gateway group é usar policy route no firewall.
Então, se você tiver conexões inter-vlan, você deve criar regras permitindo o acesso e colocar essa regra em cima da regra de internet (que tem gateway group), e usar o gateway default (padrão, sem alterar).
Caso não faça isso, o intervlan vai parar de funcionar pois o pacote vai cair direto na regra de Internet que tem gateway group.mais detalhes: https://docs.netgate.com/pfsense/en/latest/routing/gateway-groups.html
-
@mcury nao tenho intervlan em nenhum deles, nesse caso essa regra fica como a primeira de todas certo?
-
@nilldson inter-vlan antes da regra de internet, com gateway default (não altera)
deixa o gateway group só na regra de internet.
mas precisa criar a regra permitindo a conexão intervlan para que elas se comuniquem.