Plataforma con Pfsense
-
Buenas noches a todos les comento brevemente la plataforma y los problemas que se me están presentando,
Acabamos de instalar una plataforma con un servidor PPPoE y un Pfsense (esto para asignar planes de navegación a los clientes), el PFsense cuenta con Radiusd para autenticar los usuarios y es el encargado de controlar 2 enlaces a internet (en uno de ellos el proveedor nos asigno más de una IP y utilizamos Virtual IP) con los cuales hacemos balanceo de carga, Failover etc, hasta los momentos toda ha ido bien ya que a pesar de haber presentado algunos problemas los hemos podido solucionar pero actualmente presentamos un problema que podríamos catalogar como grave ya que en principio teníamos una regla que permitía todo el trafico de la LAN hacia el pool Balanceo y funcionaba sin problemas pero luego decidimos solo permitir puertos como 80, 25, 53, 443, 22, 23, 110, etc y bloquear todo lo demás, pero al hacer esto comienzan a generarse problemas de navegación, caducan las paginas etc etc.
Hemos hecho muchas pruebas pero no logramos dar con el problema, que me recomiendan?
Saludos desde Venezuela
Julian de Achurra
-
No tienes instalado squid o algun otro paquete en tu pfsense? si vuelves a poner la regla que permita todo esta situcion desaparece? solo para que estemos seguros de que este es el problema y no otro
-
Revisa estado y logs del balanceo, a ver si hay algo raro.
Las reglas que pones no sirven de nada, al haber la tres finales que permiten todo, primero por balanceo y después por failover.
Deshabilita las tres reglas finales para probar.
-
Saludos muchas gracias por sus respuestas,
Les comento que ni Squid ni otras aplicaciones instaladas es algo que también nos sorprendió el no poder utilizar squid con Balanceo pero bueno por ahora no me quita el sueño, Bellera las reglas de permitir todo las tengo para que pueda funcionar mientras determino el problema porque si las apago comienza a fallar de forma muy extraña, no sé si será tema de DNS pero no entiendo porque con todos los puertos permitidos funciona y bloqueando no.
Saludos desde Venezuela
Julian de Achurra
-
Puedes pegar el detalle de las tres ultimas reglas?
has comprobado enrutamientos con tracert(win) o traceroute(linux) para ver como saca las peticiones?
Yo haria una regla para permitir la salida del icmp y probaría con una traza icmp que hace. -
puedes probar las reglas una a una con alguna herramienta como ping tcp:
http://www.elifulkerson.com/projects/tcping.phpSi lo que observas es el comportamiento anomalo de una aplicacion el problema puedes buscarlo haciendo un netstat para ver que peticiones saca tu máquina, puedes hacer un estudio mas en detalle con un wireshark snifando las peticiones que hace tu máquina.
-
Buenos Días a todos muchissimas gracias por su ayuda, luego de muchas pruebas nos dimos cuenta que el problema se estaba presentando con uno de los proveedores de internet ya que en horas pico comenzaba a perder paquetes contra su puerta de enlace, perdía alrededor de 16% el balanceo no lo tomaba como caída pero si afectaba, ahora bien tengo otra pregunta debido a que el encargado de hacer el DHCP es mi servidor PPPoE que está detrás del PFsense que es más recomendable asignar los DNS de los proveedores de Internet (uno de cada uno) o asignar como DNS la puerta de enlace (en este caso el PFsense) adicional me gustaría saber que parámetros debería dejar o desactivar en la opción DNS Forwarder
Muchas Gracias a todos,
Saludos desde Venezuela
Julian de Achurra