Failover Load Balancer



  • Всем добрый день.
    Помогите настроить два WAN-a (собственно WAN и OPT1) на работу в отказоустойчивом режиме.
    Настраиваю по вот этой док-е http://doc.pfsense.org/index.php/Multi_WAN_/_Load_Balancing. Ниже приаттачил принтскины с настройками. Теперь собственно вопрос: на картинке 2.png где "Status: Load Balancer" , gatway OPT1 показывает offline , это нормально ? ( еще при работе на основном WAN пинги через OPT1 идут нормально). Когда выдергиваю основной WAN на резервный OPT1 pfsense не переключается  и  "Status: Load Balancer" показывает оба gatway в offline . Подскажите где найти решение в такой ситуации . Спс.











    1. Когда оба интерфейса подключены всё должно быть в on-line. Если с pfSense'а пингуется yy.yy.yy.yy то OPT должен быть зелёный.
    2. Про правила, если LAN address принадлежит LAN net, то его надо поставить выше.


  • @sheva.sv:

    Всем добрый день.
    Помогите настроить два WAN-a (собственно WAN и OPT1) на работу в отказоустойчивом режиме.
    Настраиваю по вот этой док-е http://doc.pfsense.org/index.php/Multi_WAN_/_Load_Balancing. Ниже приаттачил принтскины с настройками. Теперь собственно вопрос: на картинке 2.png где "Status: Load Balancer" , gatway OPT1 показывает offline , это нормально ? ( еще при работе на основном WAN пинги через OPT1 идут нормально). Когда выдергиваю основной WAN на резервный OPT1 pfsense не переключается  и  "Status: Load Balancer" показывает оба gatway в offline . Подскажите где найти решение в такой ситуации . Спс.

    А сам интерфейс у тебя включен? по умолчанию включены только WAN и LAN. Проверь стоит ли у тебя галочка –-->Interfaces--->OPT1--->Optional Interface Configuration (Enable Optional 1 interface). И вторая сторона технически-железная, кабель исправен? обжат правильно? (это не смотря на то что пинг есть)



  • в 1 скриене должен остаться только один пул.. Второй можно удалить.
    на 2 скрине все верно
    3 скрин не нужен
    на 4 скрине нужно создать одно правило:

    • LAN net * * * (тут название пула)

    ну и оба провайдера должны быть Online. Проверь наличие связи со вторым.



  • Можно узнать, на чём основаны сии утверждения:
    @chillivilli:

    в 1 скриене должен остаться только один пул.. Второй можно удалить.
    3 скрин не нужен
    на 4 скрине нужно создать одно правило:

    • LAN net * * * (тут название пула)


  • У меня работает с такими настройками, может они конечно не верный в чем-то, но рабочие.



  • Нельзя категорично утверждать верные-неверные, не зная цели, которая преследуется.



  • Извиняюсь за долгое молчание.
    Задачи у меня стоят такие:
    № 1  При пропадании канала от провайдера  WAN (xx.xx.xx.xx)  шлюз (pfsense)  должен автоматом переключиться на  резервного провайдера OPT1 (yy.yy.yy.yy) и роздавать всем инет через резервный канал. А затем наступает задача  №2 при появлении канала от провайдера  WAN (xx.xx.xx.xx) автоматом переключиться с OPT1  на  WAN
      Вообщем с помощью ваших советов получилось достичь такого состояния системы Load Balancer  (на рисунках ниже приведены настройки).  Статус Load Balancer  показывает что оба интерфейса в онлайне, но при выдергивании кабеля из интерфейса WAN переключения на резервный OPT1  не происходит. В логах Diagnostics: System logs: Load Balancer такие сообщения
    Aug 19 20:49:46 apinger: Starting Alarm Pinger, apinger(9143)
    Aug 19 20:54:25 apinger: ALARM: ZZ.ZZ.ZZ.ZZ(ZZ.ZZ.ZZ.ZZ) *** down ***
    а после включения кабеля обратно появляется сообщение
    Aug 19 20:59:31 apinger: alarm canceled: ZZ.ZZ.ZZ.ZZ(ZZ.ZZ.ZZ.ZZ) *** down ***
    где ZZ.ZZ.ZZ.ZZ шлюз провайдера XX.XX.XX.XX (WAN)

    Вообщем в очередной раз прошу объяснить как работает pfsense в режиме безперебойной раздачи инета при  MultiWAN - e .
    Спс.








  • Во-первых, исходя из вашей задачи, первым в Load Balancer: Pool должен стоять WAN, OPT1 - вторым.
    Во-вторых, уберите первое правило из Firewall: Rules -> LAN. Оно полностью перекрывает второе, неудивительно, что файловер не работает.
    Это все по вашим скриншотам. Теперь вопросы.

    1. настроен ли NAT на OPT1?
    2. что за адреса стоят в monitor IP для WAN и для OPT1 (все эти xx.. yy..)? Шлюзы провайдеров, их DNS… ?


  • по вопросам
    1. NAT на OPT1 настроен только на проброс 22 порта
    2. В монитор IP сейчас стоят шлюзы провайдеров. А вообще планирую мониторить какие-то внешние IP, может  google и  yahoo,  потому что была ситуация, когда до шлюза все было ОК , а после шлюза пакеты не ходили. (может подскажете какие надежные серверы которые можно мониторить ?)

    по скриншотам понял ошибку , спс.



  • Как вариант можно использовать адреса DNS серверов провайдеров. При этом необходимо прописать статические маршруты, чтобы пинг до каждого шел через соответствующий шлюз.
    А почему только 22 порт? Ведь задача стоит раздавать инет?



  • лошара я последний )))) забыл я NAT для OPT1 добавить и вам всем мозг ипал ) простите меня )) и спасибо всем откликнувшимся .



  • Если не трудно, скины please.



  • Не трудно.
    На последнем скине вам нужны только два последних правила.












  • Огромное Спасибо.

    Последний вопрос.

    "System: General Setup: DNS servers"

    Как прописаны адреса DNS этих провайдеров.



  • у меня в сети свой DNS сервер, а прописаны в  "System: General Setup: DNS servers" 
    1. Сервер WAN провайдера
    2. Адрес моего DNS в локальной сети.

    п.с. я думаю что можно там прописать DNS-ы обоих провайдеров.



  • Спасибо.

    Было бы удобно, если бы pfSense позволял в вкладке
    "Interfaces: OPTx" указывать кроме "Gateway" и "DNS" тоже.

    А так мне не очень понятно, как это настроить.
    Где сделать привязку конкретный "Gateway" <-> "DNS".



  • как вариант : пропиши все dns - ы в /etc/resolv.conf система сама выберет рабочий , только я вот не уверен что после перезагрузки пфсенс восстановит его в прежнее состояние (хотя можно в конфигах поискать где dns  прописываются и прямо туда добавить) . И еще сам переключатель реализован в файерволе pf и потому я думаю, что нет смысла в привязке днс к гейтвею



  • Спасибо.



  • а у меня failover load balancer перестал работать после обновления с 1.2.3-RC1 на 1.2.3-Release (((
    статус меняет, в логе пишет down но маршрутизирует на первый указанный шлюз в балансере (
    что ему не понравилось в рабочем конфиге?












  • Как проверяешь, куда маршрутизируется?



  • да элементарно хоть смотрю в states или  tracert



  • 2Dim.on.web
    Немного смущает, что на втором скриншоте в Load balance оба интерфейса онлайн, а в failover'ах - нет. Может и сам сервер, как и я, в этом путается?



  • @rubic:

    2Dim.on.web
    Немного смущает, что на втором скриншоте в Load balance оба интерфейса онлайн, а в failover'ах - нет. Может и сам сервер, как и я, в этом путается?

    пул с именем "LoadBalance" не используется и указывает на другие сервера



  • @Dim.on.web:

    да элементарно хоть смотрю в states или  tracert

    Тогда, если пакет подпадает подо соответствующее правило (DestinationIP принадлежит x.x.x.x или destination port=Port_Nat_via_Optima), то трафик будет уходить на WAN.



  • @Evgeny:

    Тогда, если пакет подпадает подо соответствующее правило (DestinationIP принадлежит x.x.x.x или destination port=Port_Nat_via_Optima), то трафик будет уходить на WAN.

    почему на ван когда вместо шлюза указан пул? и в 1.2.3 RC1 всё работало как нужно а в 1.2.3release этотже рабочий конфиг нифига не работает, хотя apinger определяет упавшие сервера правильно



  • @Dim.on.web:

    @Evgeny:

    Тогда, если пакет подпадает подо соответствующее правило (DestinationIP принадлежит x.x.x.x или destination port=Port_Nat_via_Optima), то трафик будет уходить на WAN.

    почему на ван когда вместо шлюза указан пул? и в 1.2.3 RC1 всё работало как нужно а в 1.2.3release этотже рабочий конфиг нифига не работает, хотя apinger определяет упавшие сервера правильно

    Правильно - на пул, но первый в пул OPT1 находится в дауне, значит маршрутизация на второго - WAN.
    Я бы не горячился с "не работает", у сотен, если не тысяч работает, а у тебя нет? Что-то неправильно сконфигуриовано или неправильно тестируешь.



  • @Evgeny:

    Правильно - на пул, но первый в пул OPT1 находится в дауне, значит маршрутизация на второго - WAN.
    Я бы не горячился с "не работает", у сотен, если не тысяч работает, а у тебя нет? Что-то неправильно сконфигуриовано или неправильно тестируешь.

    в том то и дело что пакеты через wan не идут, более того у меня подозрение что больше 2х записей в пуле он не умеет, и мало того, после 2х переключений статуса обратно в онлайн апингер уже не переключает. глюкалово какое то этот release



  • @Dim.on.web:

    @Evgeny:

    Правильно - на пул, но первый в пул OPT1 находится в дауне, значит маршрутизация на второго - WAN.
    Я бы не горячился с "не работает", у сотен, если не тысяч работает, а у тебя нет? Что-то неправильно сконфигуриовано или неправильно тестируешь.

    в том то и дело что пакеты через wan не идут, более того у меня подозрение что больше 2х записей в пуле он не умеет, и мало того, после 2х переключений статуса обратно в онлайн апингер уже не переключает. глюкалово какое то этот release

    1.2.3 - не глюкалово точно. failover там работает 100%. Давай рассказывай, как тестируешь. Если запускаешь постоянный пинг, а потом выдёргиваешь провод, то так не сработает, так как старый state не умирает, а поддерживается твоим постоянным пингом. Попробуй или пинговать разные сайты, или подождать, пока state старый (через opt1) не сдохнет. Новая сессия должна идти через wan, если opt1 лежит.



  • @Evgeny:

    1.2.3 - не глюкалово точно. failover там работает 100%. Давай рассказывай, как тестируешь. Если запускаешь постоянный пинг, а потом выдёргиваешь провод, то так не сработает, так как старый state не умирает, а поддерживается твоим постоянным пингом. Попробуй или пинговать разные сайты, или подождать, пока state старый (через opt1) не сдохнет. Новая сессия должна идти через wan, если opt1 лежит.

    если выдёргивать провод то будет в дауне интерфейс, это слишком грубый метод. в реале так врятли произойдёт, чаще упадёт PPPoE или ещё дальше у прова пропадёт линк, я не так проверяю, я как раз на модемах разрываю PPPoE, таким образом пакеты дальше шлюза по умолчанию не идут (модемы в режимах роутера). В пуле прописаны адреса серверов в инете или шлюзы провайдера (что хуже чем сервера в инете).
    Что я сделал последее:
    сократил кол-во серверов в пуле до 2х.
    убил все старые states в ручную.
    отключил Traffic Shaper
    убрал все правила маршрутизации на интерфейсе кроме одного где шлюзом указан пул.
    apinger в FailowerLoadBalanser верно определяет упавший сервер, но пакеты упрямо ходят по старому маршруту (по шлюзу указанному первым в пуле).
    LoadBalanser не работает!



  • 10 долларов и я ремонтирую твой LoadBalancer (доказываю, что в 1.2.3 работает) -)))))))))))



  • Просьба вынести в FAQ.
    Как наиболее удачное обьяснение технологии "Failover Load Balancer'.



  • @Evgeny:

    10 долларов и я ремонтирую твой LoadBalancer (доказываю, что в 1.2.3 работает) -)))))))))))

    я бы поспорил, но ты проиграешь )
    кароче с 1.2.3 Release у меня не сложилось, я даже пробовал устанавливать всё по новой греша на глюки из за установленных позднее дополнений или ошибок в дистрибутиве при скачивании, проверял контрольные суммы скачанных дистров, но и это не помогло. Установил заново 1.2.3 RC1 и о чудо! всё работает! Даже заработал ajax на странице состояния фильтра, который в RELEASE не работает. Вообще странно что между RC1 и Release такая большая разница, что то разработчики погорячились добавить apinger, когда должны были всего лишь устранять глюки, судя из названий версий.



  • @storma:

    Просьба вынести в FAQ.
    Как наиболее удачное обьяснение технологии "Failover Load Balancer'.

    А что в этой технологии непонятно?



  • Сегодня делал failover канал, вроде заработало, но появился вопрос - работает ли такая схема (автоматическое переключение на "живой" канал инета) с включёными пакетами - squid (+squidguard+havp)?
    Без этих пакетов у меня получилось запустить, потом включил вышеуказанные пакеты и перестало.

    P.S. Проверку проводил вытаскиванием кабеля из основного wan порта, через 15 сек включался резервный opt1 канал.



  • Вот тут не подскажу, никогда со squid'ом не игрался. -(



  • squid работает только через default gateway. Нет соединения на WAN - нет интернета у юзеров. Это ограничение load balancer в 1.2.3



  • @rubic:

    squid работает только через default gateway. Нет соединения на WAN - нет интернета у юзеров. Это ограничение load balancer в 1.2.3

    Спасибо.
    P.S. Целый день тогда провозился, подумал уже крыша поехала :)



  • Ставьте проксик на отдельной машине и все. Лучше на виртуалках и то и другое - на железо не придется тратиться. У меня юзеры ходят в инет по маршруту юзер -> проксик -> файловер-гейт -> инет. В то же время внутренние сервера доступны из инета минуя прокси: внешний юзер -> файловер-гейт -> сервер.



  • pfSense стоит 1.2.3, прочитал тему,настроил load balancing, если отрубить WAN, OPT1 не подключается как резервный, это так и должно быть? во 2-м pfSense та же фигня? http://ru.doc.pfsense.org/index.php/Интернет_от_двух_провайдеров_(pfSense_2.x) - здесь показана настройка одновременно и failover и load balancing на 1.2.3 сделал и то и то в итоге распределения нет,есть только резервирование… Хотелось бы чтобы работали оба канала и работа не прерывалась если один отпадет, на 1.2.3 такое возможно?
    Так же вопрос про squid - будет ли он работать в такой схеме при распределенной нагрузке и отпадывании основного канала?
    Если во 2-м можно все это то где его скачать? у меня http://snapshots.pfsense.org/ не открывается,выдает -  Snapshots will return soon. А я так хотел за выходные все настроить. :(


Log in to reply