Pfsense Load Balancing [ Yardım 1.2.3 sürüm ]

hacker-06

Merhabalar,

Pfsense load balancing hakkında yardıma ihtiyacım var. Kendi sitesindeki döküman ile birşeyler yapmaya çalıştım ama rules kısmında hatalar yaptım sanırım sistem tek modem üzerinden çalışıyor.

Bu konu hakkında adım adım resimli yada videolu anlatabilecek bir arkadaş varsa çok sevinirim. Forumun bütün sayfalarına baktım benzer konular mevcut fakat çok genel olduğu için eksik adımları göremiyorum.

Bu konuda yardımcı olursanız çok sevinirim hemde forumda sabitlenmiş ve Türkçe olarak anlatılmış olur..

cemx

-Lütfen forumun türkçe bölümüne ilk girdiğiniz yerdeki sabitlenmiş konuları inceleyin..

samuray77

1.2.3 sürümü kullanarak tek pfsense ile load balance yapamazsınız.
pfsense kurulu olan bilgisayarlardan biri sadece load balance yapacak.
2.si ise içeriği filtreleyecek. bununla ilgili forumda yeterli bilgi mevcut ama eğer işin içinden çıkamazsanız uygun olduğumda detaylandırırım. Ama önce forumdan bakın lütfen.

hacker-06

Yazmış olduğunuz mesaj tamamiyle yanlış bilgi içeriyor. İngilizce dökümandan takip ederek yaptım fakat kurallar bölümünde sorun yaşadım.. forumda bir kaç arkadaş yapmış fakat detaylı adamları anlatırlarsa çok sevinirim..

cemx

Öncelikle aşağıdaki bilgiler sizin seviyenizden düşük olabilir kendinize göre olanları ele alırsınız, her seviyeye faydalı olabilimesi için detaylandırmamın kusuruna bakmayın lütfen..
Anlatılanlar PfSense 1.2.3 release sürümü içindir. 2.0 sürümünde ayarlar biraz değişiktir.

-PfSense ilk kurulum ve modem ayarı detaylarını atlıyorum.. Şu linkdeki döküman buraya kadar olan bilgiler için yeterince ışık tutacaktır (Sözü geçiyorken dökümanı hazırlayan arkadaşımıza şükranlarımı sunuyorum); http://forum.pfsense.org/index.php/topic,31483.0.html
-Bütün onları sağlıklı yapmış ve Pfsense'a erişebiliyor iseniz ve status interface kısmına baktığınız da wan ve opt1 adındaki 2 hattınız beklediğiniz ip leri almış ise tamamdır balance kısmına geçebiliriz..
-Ama geçmeden önce modemler ile ilgili küçük bir detay var, pfsense'in wan bacağına bağlı modemlerden birini bridge moda alıp PppoE ayarını PfSense in Wan bacağına ayarladığınız da direk ip alabilmesini sağlayabiliyorsunuz. Bu ileride içeriye yapacağınız yönlendirmelerde kolaylık sağlayacağından normalde tavsiye edilir. Bunun için de şuradaki bilgileri gözden geçirmeniz gerekmektedir; http://forum.pfsense.org/index.php/topic,28397.msg147786.html#msg147786
-Yok içeriye herhangi bir yönlendirme gerekli değil ise ve sadece 2 Adsl ya da elde ne varsa kabloNET quikNET vs gibi hatları birleştirip Fail-Ower ve Load-Balance yapma düşüncesi varsa söz konusu PppoE ayarlarını evde standart Adsl hattı kurar gibi her bir modem üzerine yapıp modemleri tek tek kullanarak ip alıp almadığını ve internete çıkabildiklerini test edin. 2 modemden de internete çıkılabildiğine emin olduktan sonra gerisi oldukça kolay.
-Hatlarınız ne olursa olsun farklı isp lerden olmalarına özen gösterin zira birtanesi TtNEt olup da bir sorunu olursa diğeri başka bir isp olacağından sizi internete ulaştırmaya devam ediyor olacaktır.
-Ben size 2 modem ve adsl hattınız varmış gibi anlatacağım. Çünkü nasılsa Load-Balance yapmanın püf noktasının balance edeceğiniz hatların Gateway adreslerinde gizli olduğunu anlayacaksınız. Dolayısı ile hatlardan birini PfSese'in wan bacağına PppoE bağladıktan sonraki Load-Balance ayarına etkisini anlayıp yapabiliyor olacaksınız.
-Sözkonusu gateway adreslerini /status/interface kısmında görüyor olacaksınız, Şöyleki; PfSense bridge yapılmış modemden wan bacağına ayarlanmış PppoE ayarı ile isp nizden aldiği direk ip'yi interface kısmında gördüğünüzde hemen aldında gateway adresni görüp not edip load-balance yapılandırmasındaki gerekli yere ayarlayacaksınız.
-Ayrıca PfSense'ımıza Lan, wan ve opt1 olarak adlandırılılacak olan 3 adet ethernet kartının takılmış olduğunu var sayıyorum.
-Naçizane önerim browser olarak Firefox kullanmanız olacaktır, monitoring için gerekli bazı plug-in ler içinde geliyor.

1. Adım;
-Modemlerinizden birincisine 10.1.1.1 ana ip si verilmiş olsun ve modemin standart dhcp ayarları açık olsun
-Modemlerinizden ikincisine  10.1.2.1 ana ip si verilmiş olsun ve yine modemin standar dhcp ayarları açık olsun.
(Dikkat ederseniz iki modemin ip segmenti tamamen ayrı bu durum PfSense'in kendi içindeki routing işlemleri için önemli, tabi ayrıca kafamızın karışmaması için bizim için de önemli)

2. Adım;
-Modemlerimizin ethernet port kablolarını (normalde evdeki pc'mizin ethernet girişine taktığımız standart ethernet kablolarıdır)
PfSense üzerindeki wan portu ve opt1 diye adlandırılmış olan portlara takıyoruz.
Wan portumuza 10.1.1.1 adresini almış olan modemimizi taktığımızı var sayıyorum.
Opt1 olana da 10.1.2.1 adresi almış olan modemimiz takılmış olsun.
Not:Bazı modemlerin bazı portları Dmz olarak default ayarlanmış olabilir ethernet kablosunun modem üzerinde o port'a takmamış olmasına dikkat edelim.

3. Adım;
-PfSense üzerinde Services bölümündeki Load Balance bölümüne giriyoruz..
Burda göreceğiniz gibi sağ taraf da artı butonundan başka bir şey yok. Tıklayın o butona ve ilk ayarlamamıza başlayalım.

En baştaki "Name" yazan yere "LB" diyelim ve hemen altındaki "Description" yazan satıra da bunun Load-Balance Pool u olacağının notunu girelim..
Hemen altındaki "Type" Yazan satırdaki seçeneğimizi Gateway olarak seçelim.
Hemen Altındaki "Behavior" satırındaki seçeneğimizi Load-Balance olarak seçelim.

Bundan sonraki "Port" ve "Monitor" yazan iki satırı da geçelim.

Şimdiki "Monitor ip" yazan satirimiz önemli, demin bahsettiğim gateway adresleri burada önem kazanıyor.
Satırdaki seçeneğin içindeki "Wan's Gateway" i seçelim.
Hemen altındaki "interface name" satırındaki interfacemiz şimdilik wan olarak kalsın, yanındaki Add Pool butonuna tıklayalım.
Tıkladığınızda hemen altındaki "List" satırında PfSense'in wan portuna taktığınız modeminizin ana ip si olan 10.1.1.1 ip sinin wan yazısıyla birlikte listelendiğini göreceksiniz.

Buraya kadar herşey normal ise şimdi Load-Balance etmek istediğimiz diğer PfSense bacağımız olan Opt1 bacağınıda aşağıda list edilen Pool'un içine ekleme sırası geliyor.
Hemen "Monitor ip" yazan satırımıza geri dönüyor ve bu sefer seçeneğimizin içindeki "Opt1's Gateway" yazanı seçip
altdaki "interface name" yazan satırımızdaki seçeneğimizde de bu sefer Opt1 i seçip "Add Pool" butonumuza tıklıyoruz.
Hemen altındaki "List" bölümünde bu sefer de PfSense'in Opt1 portuna taktığımız modemimizin ana ip si olan 10.1.2.1 ip adresini Opt1 yazısıyla birlikte görüyor olmamız gerekiyor.

Buraya kadar herşey normal ise PfSense'imize Load-Balance yapmak istediğimizi anlatmış olduk.
Bundan sonra LB pool'una eklenecek her interface Gateway'ine aynı adımlarla devam ediliyor
en altdaki list bölümüne girmesi ile Load-Balance gücü arttırılmış oluyor, yani 3. (10.1.3.1 ip si verilmiş) bir modeminiz ve internet hattınız varsa
onun içinde Pfsense'a 4. bir ethernet kartı takarak Opt2 ismi almasını sağlıyorsunuz ve yukarıdaki adımları tekrarlıyorsunuz.

Artık Load-Balance'ın başlaması için Firewall bölümünde birkaç ayarımız kalıyor.
1. ayarımız "Firewall" bölümündeki "Alias" bölümü ile ilgili..
"Alias" ile bazı ip adreslerimizi tek bir isim altında gruplandırarak firewall'a yapacağımız bazı girdilerimizin çabuklaşması ve kolaylaşmasını sağlayan güzel bir özellik.
ilk ayarımız Load-Balance ettiğimiz gateway'lerimizin ip lerini girmekten ibaret.
/firewall/aliases bölümünde artıya tıklayarak yeni bir tane açalım..
"Name" satırına "allgw" diye bir isim verelim, hemen altındaki "Description" satırına bu alias hakkındaki notumuzu girelim
örn;"Gateways" ya da "Adsl modem ag gecitleri" diyelim.
Hemen alt daki "Type" satırı "Host" seçili olarak kalsın.
Son satırdaki hostlarımızı sağdaki artıya birer birer tıklayarak 10.1.1.1 ve 10.1.2.1 şeklinde yaratalım
Tabi karşılarına 1. modem TtNET 2. modem BilmemneNET diye de notlarımızı düşelim.
Save deyip çıkalım ve "Applay Changes" diyerek Pfsense'mıza işlenmesini sağlayalım.

Şimdi /Firewall/Rules bölümüne gidelim..
Burda lan sekmesine geçerek default any any olan rule'ımızı çoğaltmak üzere sağındaki artı butonuna tıklayalım..
Herşeyin çıkmasını yani internete ulaşabilmesini sağlayan ve PfSense in içinde kurulu gelen bu rule'ımızın içinde source
bölümündeki "Lan Subnet" seçeneğini any olarak değiştirelim ve en aşağıda "Gateway" yazan satırdaki "default"
ibaresine tıklayalım, Load-Balance bölümünde oluşturduğumuz ilk pool'umuz olan "LB" i seçelim ve aşağıda
"Save" deyip çıkalım yine "Applay Changes" a tıklayıp firewall kuralımızın yeni halini PfSense içine işlenmesini sağlayalım.

Buraya kadar herşey normal ise www.ipbilgi.com adresine gidip F5 ile sayfayı sürekli refresh ederek
sayfada görünecek olan dış ip lerimizin değişip değişmediğini test edelim, eğer değişiyorsa Load-Balance ayarlarımız
başarıyla tamamlanmış demektir. :)

Bundan sonraki ayarlar işin içine Load-Balance girdiğinde yapılması ve unutulmaması gereken temel ayarlar.
En öncelikli ilk ayarımız banka sitelerine bağlantı sağlandığında yani Https:// sitelerine yapılacak bağlantılar da
kopmalar yaşamamanız için gerekli olan çok önemli temel bir Firewall rule'i var onu yapacağız.

Ama öncelikle Load-Balance bölümümüz de iki Pool daha hazırlamamız lazım bu seferki Pool Fail-Over yapacak
Load-Balance Pool bölümün de artıya tıklayarak yeni bir Pool daha açıyoruz.

1. Pool'umuza "w1fow2" ismini veriyoruz "Description" kısmına "Wan1 FailOver Wan2" notumuzu düşüyoruz
Yukarıda Load-Balance Pool'u olarak hazırladığımız "LB" adındaki pool yapılandırma adımlarımızın aynısnı burdada yapıyoruz
fakat şimdiki tek değişikliğimiz farkedeceğiniz gibi "Behavior" satırındaki Loadbalance değil de Failover seçecek oluşumuz.
Sonraki satırlar tamamen aynı adımlar.. "Save" deyip çıkıp "Applay Changes" deyip değişikliğimizi işliyoruz.

2. Pool'umuza "w2fow1" ismini verip "Description" kısmına "Wan2 FailOver Wan1" notumuzu düşüyoruz.
Bi yukarıdaki adımlarımızın aynısı işlemleri yapıyoruz ama burdaki tek değişikliğimiz ise "Monitor ip" seçimimize bu sefer Opt1
interface'i ile başlıyoruz. Yani interface seçimimiz Opt1 ile başlıyor 2. interfacemizide Wan olarak seçip kaydedip işletiyoruz.
Load-Balance bölümüne girdiğinizde yapılandırmanız şu şekilde görünmeli;
LB gateway(balance)
wan 10.1.1.1
opt1 10.1.2.1
Load Balance

w1fow2 gateway(failover)
wan 10.1.1.1
opt1 10.1.2.1
Wan1 FailOver Wan2

w2fow1 gateway(failover)
opt1 10.1.2.1
wan 10.1.1.1
Wan2 FailOver Wan1

Şimdi gelelim Https:// siteleri için gerekli olan firewall yapılandırmasına..
Öncelikle daha önce yaptığımız gibi alias oluşturmakla işe başlayalım ve her girilmesi gereken Https://
portunu bir isim altına toplayalım -ki firewall yapılandırmamız da bize kolaylık sağlasın.

1. Adım /Firewall/Aliases bölümüne gidip "HTTPsAll" adıyla artı butonuna tıklayarak yeni bir alias açalım.
"Description" a "Balance edilmeyen portlar" diye not düşelim.
"Type" satırını "ports" diye seçelim.
Sırasıyla her bir port için artıya tıklayarak alt alta satırlar açıp şu portları tek tek girelim "22, 443, 444, 3389, 8443"
herzamanki gibi "Save" e basıp mutlaka "Applay Changes" butonuna tıklayarak yeni alias ımızı işleyelim.

2. Adım /FireWall/Rules/ bölümüne girelim Lan sekmesine geçelim ve artı butonumuza tıklayarak yeni bir kural açalım.
Bur kurala sırasıyla "Action" satırını Pass olarak seçmiş olalım sonrasında
interface:Lan
Protocol:Tcp
Source Type: LAN Subnet
Sorce Os: Any
Destination: Any
(Burası "HTTPsAll " alias'ımızı konumlandıracağımız yer, Seçimin nasıl olduğunu ilk anda anlamanız için araya giriyorum
Normalde From/To seçim kutucuklarının içinde Https ibaresi var ama biz kendi yarattığımız alias ımızı kullanacağımız için
buraları (from/to) other diye seçip hemen sağındaki kırmızı kutucuğa alias ismini yazıyoruz, yazarken farkedeceksiniz
yazmaya başladığınızda bunumu demek istiyorsunuz diye browser'ınız sizi uyaracaktır hemen hızlıca o uyarıya tıklayarak
evet deyip doğrusunun girilmesini hızlıca sağlayabilirsiniz. Alias adı buraya doğru girilmelidir yoksa kural çalışmayacaktır.

Destination Port: From:(other)HTTPsAll
                         To:(other)HTTPsAll

Bundan Sonra ki önemli nokta yük paylaşımından çıkardığımız bu portlarımızın Gateway seçimi..
Gateway satırın'a tıkladığınızda bu sefer "w1fow2" seçmeniz gerekmektedir.
Bu seçim bu portlar için sürekli hatları Load-Balnce eden Pfsense'a bu portları wan1 den çıkar,
wan1 yoksa wan2 den çıkar demektedir.
"Description" satırımıza "Bunlar yuk paylasimi olmayan portlar" diye not düşelim..
"Save" butonumuza basalım "Applay Changes" butonumuza tıklayarak yeni kuralımızı PfSense'ımıza işleyelim.
Artık Banka gibi sitelere girildiğinde kopmalar düşmeler yaşanmayacaktır.

Tabi bu noktada bir not düşmekte sanıyorum fayda var;
Pfsense normalde yarattığınız her bir firewall kuralını kural listesine en alta açacaktır..
Şunu unutmamanız gerekir:PfSense kuralları yukarıdan aşşağıya doğru işlemektedir.
Dolayısı ile Https:// için yarattığınız bu kuralın önemi ve mantıken çalışma sırası aslında en yukarıda olması gerekliliğidir.
Bundan önceki "LB" için yarattığınız kuralın yukarısına hatta varsa diğer tüm kurallarınızın en tepesine bu kuralı taşımanız gerekmektedir.
Bu taşıma işlemini /Firewall/Rules/Lan bölümüne gittiğinizde sağda her bir kuralın karşısında artı ve çarpının yanında el işaretini görmüşsünüzdür.
Taşınmasını istediğiniz kuralın sol tarafındaki kutucuğu tıklayarak seçin sonrasında taşınmasını istediğiniz yerdeki kuralın üstünde sağdaki el işaretine tıklayın
Kuralınızın yukarı kaydığını görmeniz lazım.. Sonra "Applay Changes" a tıklayıp değişikliğin işlenmesini sağlayın.

Şimdilik öncelikli ve acil olanları anlatmaya çalıştım. Bunlardan sonra hatların Fail-Over kurallarını Firewall'a girmek gerekiyor.
Yani hatlardan biri koparsa diğerinden çıkılmasını sağlanması için.. Aslında alias ve firewall kuralı olarak 2 kural oluşturmaktan ibaretler ama
yoruldum onları da bir başka arkadaş anlatırsa sevinirim..
Biraz geçte olsa bu denli detaylı anlatılmış olması umarım işinize yarar..

murat55

cemx ben henüz kulanmaya başlamadım ama deteylı anlatımın için teşekkür ederim

hacker-06

Detaylı anlatımınız için çok teşekkür ederim yarın adım adım takip ederek ayarlayacağım ve resimleride ben ekleyeceğim :)

tuzsuzdeli

ufak bir katkı yapayım
2 tane hattınız var ise, w1fow2 ve w2fow1 diye iki ayrı pool oluşturmanıza gerek yok. sadece 1 tanesi yeterlidir.
zaten 2 hat olduğundan, birincisi fail olduğunda otomatik olarak ikinci devreye girecek, dolayısı ile ikinci pool'a hiç bir zaman ihtiyaç olmayacak.

hacker-06

cemx

-Ooo miss gibi olmuş elinize sağlık.. :)

melihornek

hocam yarın sabah için gerekli idi süper oldu her ikinizin ellerine sağlık. çok teşekkürler

melihornek

alıntı;
Evet pfsensin orjinal multiwan dokümanına bakarak denedim. 2 adet 4mbit hattı yaptım. speedtest ile 7000kbps ye çıktığını gördüm. Ayrıca "squid" ve squid guard kullanıyorsanız "proxy"  kısmında tranparans ve üstteki seçeneği iptal etmek gerekiyor. Yoksa internet çalışmyor. Bu durum belkide Pfsensin "BUG" ' ı olabilir.
arkadaşlar bu konu gerçekmi acaba

tuzsuzdeli

ifade yanlış olmuş tabii,
transparent kullanmak istiyorsanız seçeneği işaretleyeceksiniz, proxy ayarlarını clientlar elle girecekse, işaretlemeyeceksiniz durum bundan ibaret.
İhtiyaçlara göre değişir
Bug filan yok ortada :)

melihornek

çok teşşekkür ederim tuzsuzdeli içim rahatladı :)

tuzsuzdeli

yalnız şimdi dikkat ettim.
2 hattı birleştiriyorsunuz.
ancak 1.2.3 versiyonunda proxy kullanırsanız, web erişimi için sadece Wan hattını kullanabilirsiniz aklınızda olsun.

hacker-06

Moderator arkadaştan ricamız olarak aslında konunun metnini ve resimlerini derleyip bir konu oluşturup sabitlerse daha iyi olacağını düşünüyorum ? Böylelikle Türkçe adım adım ve resimli dökümanlar oluşturmaya başlamış oluruz ki kimse zorluk çekmeden konulara ulaşım sağlar ve çözüm bulurlar..

efmukl

CemX in dediklerini ( Load Balance için olan ilk kısmını ) harfiyen yaptım fakat bir sonuç elde edemedim. Ingilizce dökümanlardan da anladığım kadarıyla yapmaya çalıştım olmadı.

CemX in dediği eğer olmuşsa ipbilgi.com adresinde F5 e basın eğer ip adresiniz değişiyorsa Loadbalance olmuş demektir demişti ama ip standart bekliyor kuzu kuzu.

Loadbalance ile internet hızını arttırmaya çalışırken eldeki hızdanda olduk. Öyleki hız en son 0.99 da kalmıştı.
Ne yapmam lazım 2. bir makinaya pfsense kurup onu dhcp ile internete bağlayıpda 2. internet yeni makinaya kurup da mı Load Balance yapayım

Sistemim şu şekilde
2 xDsl internet bağlantisi ( Modemleri bridge moda almadım nasıl olduğunu tam bilmediğim için uğraşmak istemedim )
3 Ethernet Kartı. Wan ,Lan ,Opt1 şeklinde tanıtılmış
pfSense 1.2.3
Wan ayağındaki Internet static ip ( Nasıl ayarlanmış bilmiyorum ama kendi bilgisayarımda dahi ip gateway dns subnet el ile girmeden internete bağlanamıyorum )
Opt1 ise dhcp ayarlı.

Wan bacağındaki internet hızı 11 13 arası gidip geliyor
Opt1 bacağındaki internet hızı 5 8 arası gidip geliyor

Birde şöyle bir olay war 2 ethernet kartım Dlink 10/100Mbit. Wan ayağını bunlardan birine takınca internet hızı maksimum 2mbit ama diğer karta takınca (Atheros L1 10/100/1000Mbit) hızı gayet iyi. Bu fark neden kaynaklanır Dlink uyumsuzluğundan mı yoksa 100Mbit oluşundan mı


cemx

-dlink yerine daha kaliteli bir kart bulun. Eger proxy Kurmadiysaniz ayarlariniz dogru. Ipbilgi.com adresinden refresh ederek test edebilmeniz lazim.

efmukl

Sisteme Proxy filan kurmadık. En kısa zamanda Intel Ethernet kartı alıcaz sorun çıkartmasın die.

Çözüm olarak ne önerirsiniz, benim aklıma gelen şey ayrı bir sisteme pfSense 2 RC3 mevcut sistemden dhcp internet alıp 2. internet ile pfSense 2 üzrinden LoadBalanca yapmak. Ama tabi bunu en son çare olarak yapmak istiyorum malum 2. bi bilgisayar kullanmak gerek benim gibi acemiler için.
Birde hemen şunu sorayım Opt1 ayarlarken Vlan oluşturmama gerek war mı?

cemx

-2. pfsense gerek yok ben ve bir suru kisi bu ayarlarda kullaniyoruz.
-2. Pfsense sadece (vers 1.2.3) proxy gereken ortamlarda dusunulen bir yontemdir. Sizin ihtiyaciniz sadece balans etmekse anlattigim yol yeterli olacaktir.
-opt1 ile van a felan bulasmayin, gerekte yok zaten.
-benim onerim vers 2 yi uygun bir donanima kurun. 1.2.3 bazi durumlarda kafanizi karistiriyor olabilir. Vers 2 de daha kolay bircok sey.
-ben kendi lokasyonlarimi yavas yavas 2 ye geciriyorum, tavsiye de ederim uygun bir seviyeye ulastigini dusunuyorum.