Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Msn no load balance

    Scheduled Pinned Locked Moved Portuguese
    11 Posts 4 Posters 4.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P
      persaud
      last edited by

      Olá pessoal… estou com um problema na minha rede em relação ao msn.. tenhu um pfsense fazendo load balance de um link da Embratel de 512k e um link da Velox de 1mb e outro servidor pfsense fazendo o squid desses dois links..

      Eu quero q o msn da minha rede acesse usando propriamente o link da velox e nao usando os dois no load balance.. eu quero q a conexao do msn passse soh pelo link da velox.... quero saber se eu tenhu q configurar isso no servidor do squid ou no servidor do load balance!?? e quais sao essas configuracoes!!

      Obrigado.. agradeço o retorno!!

      1 Reply Last reply Reply Quote 0
      • F
        Flubber
        last edited by

        Você vai configurar nas Rules para o trafego da porta 1863 passe pelo link da Velox, no PF do Load Balance.

        Só por curiosidade, pq instalou dois servidores PF Sense ??

        1 Reply Last reply Reply Quote 0
        • P
          persaud
          last edited by

          cara…eu nao consegui de jeito nenhuma colocar o squid pra gerenciar as duas conexoes.. ele soh gerencia a conexao da wan.. OPT1 ele nao enxerga...eu vejo no traff grafic q nao passa nada pelo OPT1 soh pela wan quando o squid ta ativado!
          ae eu tive q fazer o server squid pra passar os dois...
          aproveitando essa pergunta q tu fez.. tu sabe fazer o squid enxergar o load balance no mesmo servidor?!?!???!

          1 Reply Last reply Reply Quote 0
          • F
            Flubber
            last edited by

            Qual interface está seleciona no seu Proxy Server (Squid) ?? Aparentemente eu perguntei pois não vi necessidade criar dois servidores para isso, não utilizo o Load Balance ainda, estou para adquirir um link para testar.

            Você usa proxy transparente ??

            Tipo o que eu verifiquei quando você libera suas portas LAN, você irá selecionar por qual Gateway vai sair o trafego, neste caso se o link seu da Velox cair, o Msn não vai funcionar automaticamente, você terá mudar o Gateway manualmente.

            1 Reply Last reply Reply Quote 0
            • P
              persaud
              last edited by

              certo em relação ao load balance eu pesquisei no forum e vi alguns topicos em relacao a isso.. e todos disseram q tem q ser feito um outro server pra fazer o squid..por q quando eu seleciono a interface LAN pra gerenciar o squid soh consegue pegar a conexao da wan e nao dos dois links entende!!!
              soh q uma vez cheguei a perguntar de um amigo meu ele disse q conseguiu fazendo com q o squid force a identificação dos dois links no mesmo servidor soh q ele nao me explicou como se faz =p

              eu uso proxy transparente sim!!

              e quando eh feito o load balance eh criado um outro gatway e nao mais o default ae eu seleciono lah nos Rules da LAn q a saida vai ser pelo gateway do load balance e nao mais pelo default..

              em relacao ao msn eu to ciente q se o link da velox cair o msn nao acessa mesmo…mas isso eh muito dificil acontecer...mas facil o link da embratel cair... jah to desde o começo do ano com velox e nao caiu nenhuma vez!!!

              se voce fizer o teste com o load balance no mesmo servidor do squid vc me fala se vc conseguiu..

              Obrigado!!!

              1 Reply Last reply Reply Quote 0
              • P
                persaud
                last edited by

                tava fazendo os testes aqui.. nao deu certo nao.. ele continua passando normal pello balanceamento
                eu fiz assim:
                Proto  Source  Port  Destination  Port        Gateway        Schedule  Description
                TCP          LAN net  *      *          1863  200.245.196.129                msn

                eu ateh fiz o teste bloqueando colocando o gatway default e bloqueando a porta..mas mesmo assim ele conecta.. eh como se nao tivesse fazendo efeito!!!

                1 Reply Last reply Reply Quote 0
                • R
                  rafael.cardoso
                  last edited by

                  por causa do proxy transparente, esses msn novo da vida ae além da porta 1863 ele usa a 80 pelo que percebi na empresa que fiz uns testes

                  Respect is Everything!

                  1 Reply Last reply Reply Quote 0
                  • F
                    Flubber
                    last edited by

                    @rafael.cardoso:

                    por causa do proxy transparente, esses msn novo da vida ae além da porta 1863 ele usa a 80 pelo que percebi na empresa que fiz uns testes

                    Ele também usa a porta 80, mas se você bloquear a 443 ai não conecta mesmo. Eu falo pq uso proxy transparent por enquanto e não conecta de jeito nenhum. Hoje as portas que você tem que liberar são as 443 e 1863, as demais que ele utiliza não fazem falta. (Consultei esse link da Microsoft http://support.microsoft.com/kb/927847/pt-br ). O pfsense pra mim em questão de regras só precisa de mais uma coisa, liberar portas não só por IP mas também por dominio, ai fica show.

                    1 Reply Last reply Reply Quote 0
                    • H
                      heitor.lessa
                      last edited by

                      O que o flubber disse está corretissímo, os novos msn´s além da porta 1863-1864 utilizam-se da porta 80 para evitar os bloqueios.

                      A melhor forma para resolver esta questão é criar uma VM somente com o MSN, através do pfSense use o sniffer (tcpdump) ou via WebGUI -> Packet Capture, e coloque na opção host ou src (tcpdump) o IP da VM, logo que começar o sniffer tente conectar-se ao MSN, após conectar-se pare o sniffer e veja os logs, constará os endereços IP´s que o mesmo percorreu para se conectar, faça isso mais de uma vez para ver se não há mais de 2 ou 3 endereços.

                      Depois de capturados além da regra da LAN para qualquer destino na porta 1864-1864, faça a regra:

                      Source  Destination                          Gateway
                      LAN      IP´s que capturou ou Alias      Gateway que quer sair.

                      ;)

                      Qualquer outra dúvida poste.

                      Att.
                      Heitor Lessa
                      Blog -> http://tinodiaadia.wordpress.com

                      1 Reply Last reply Reply Quote 0
                      • P
                        persaud
                        last edited by

                        eu fiz o teste do "Packet Capture" e toda vez enchergava  a porta 443, 1863 e as vezes os 1864 pra cada porta era designado um ip diferente eu fiz uns 5 testes de captura de pacote ele mostrou mais de 15 ips diferentes e essa lista nao parava de crescer….

                        eu tentei fazer o teste de bloquear somente as portas 443, 1863 e 1864 que sao essas portas q aparece sendo capturadas pelo "packet capture" mas mesmo assim ele passa tranquilo......
                        eu tentei colocar os ips tambem..mas acontece q ele sempre muda de ip... entao eh praticamente impossivel...

                        lembrando q quero fazer o teste de bloqueio pra ter certeza q ta funcionando as regras q criei a minha intenção eh fazer com que essas portas e ips passem por um link soh no meu balanceamento..mas antes quero saber quais sao os dados da regra...

                        Obrigado..aguardo retorno!!

                        1 Reply Last reply Reply Quote 0
                        • H
                          heitor.lessa
                          last edited by

                          Pelo visto a versão do MSN é a 2009 né?

                          Eu não precisei bloquear mais o msn, ou efetuar qualquer alteração.

                          Mas, se for o 2009 creio que somente a regra de firewall não vai ajudar muito, tendo em vista que são diversos IP´s que o mesmo conecta.

                          Em conjunto com as regras (Crie um alias para todos os ip´s que encontrar.) crie acl´s usando mime type em Custom Options no squid caso o tenha.

                          A mais antiga e usada de todas na época que eu precisava efetuar o bloqueio é:

                          acl msn rep_mime_type ^application/x-msn-messenger$
                          http_reply_access deny msn

                          Vou ver se amanhã consigo fazer o download do msn e sniffar pra ver se consigo bloquear e te falo, já que é a dúvida de muitos aqui no forum.

                          Att.
                          Heitor Lessa
                          Blog -> http://tinodiaadia.wordpress.com

                          1 Reply Last reply Reply Quote 0
                          • First post
                            Last post
                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.