4. Problema configurazione SQUID con MultiWan con LoadBalance senza Trasparent

Problema configurazione SQUID con MultiWan con LoadBalance senza Trasparent

  • L

    Tanto per cominciare come si fa a capire se il proxy utilizza solo la prima WAN?
    Appurato ciò senza alcuna configurazione particolare ho visto che il proxy reagisce al fail delle porte WAN: significa che se stacco il cavo da ciascuna WAN riesco ad andare su internet (anche se la risposta è alquanto lenta). Ora mi piacerebbe che SQUID lavorasse anche sul bilanciamento delle WAN. Ho trovato diversi thread in questione ma nessuno spiegava come effettivamente funzionasse. Mi sembra di avere capito che pfSense 2.0 nelle ultime snap crei le regole AON in automatico. Quindi l'unica cosa da fare è configurare il proxy per lavorare sulla porta loopback e creare la regola di nat che permetta alla rete 127.0.0.1 di utlizzare il gateway di LoadBalacing (bisognerà creare allora anche quelle per il fail delle wan?????) e la regola di firewall floating.
    Se qualcuno di voi si è già scontrato con tale problema mi può dare delle dritte?? Grazie

    0
  • M

    Ciao,
    ho avuto anche io il problema di usare lo quid con il multiwan, ho seguito questo thread ed alla fine è andato:
    http://forum.pfsense.org/index.php/topic,33895.0.html

    Alcune cose le ho capite, altre no. Ad esempio nelle custom option ho messo solo la prima istruzione e tutto a funziona. Il firewall non è ancora di produzione, quindi posso fare ancora qualche test

    0
  • L

    E' lo stesso thread che ho visto anche io. Ma te hai pfSense 2 o la versione precedente? Nel thread si fa rifermento alle regole di AON, ma leggendo il changelog della pfSense 2 sembra che tali regole vengano create in automatico. Dato che a te funziona come sono le performance? Grazie

    0
  • L

    Ho seguito tutti gli screenshot pubblicati (compreso quelli delle AON), ma niente non funziona. Andando sul log vedo qualche attività ma la pagine rimane sempre in caricamento. Peccato. Avevo scelto questa distribuzione proprio per il multiwan e la compatibilità con squid, per l'appunto insieme i 2 non vanno, come non va neanche l'FTP. Deve essere configurato su una unica porta cioè la WAN principale altrimenti non funziona al 100%.

    0
  • M

    Io sto usando la RC1, e ti confermo che il multiwan con il fail over funzionano con squid.
    Le regole di AON io ho aggiunto in manuale
    MCLINK  127.0.0.0/24
    e
    FASTWEB  127.0.0.0/24
    dovrebbero bastare solo queste.

    Per le performance cosa intendi? Dopo qualche secondo in cui stacco il cavo ethernet il firewall cambia wan, il tutto sotto squid.

    Dimmi se vuoi che scenda nei dettagli.

    0
  • L

    Il mio problema non è il failover che funziona anche senza fare niente (subito dopo lo stacco della linea ci mette un pochino ma poi funziona perfettamente senza alcun settaggio).
    Quello che volevo fare io è il LoadBalance, Cioè potere sfruttare in base al carico una linea WAN rispetto che l'altra. Ho seguito tutti gli screenshot, messi gli AON, la rule su LAN, la rule su Floating per la porta 80, abilitato la porta loopback e settato il tcp_outgoing su squid (settato anche un DNS server interno alla LAN), ma il browser rimane incatato a caricare la pagina.

    0
  • M

    Allora ho frainteso, ma comunque il failover ti funziona anche sotto squid? Allora potrebbe essere un problema nella configurazione del routing, non l'ho ancora provato il loadbalance, nel mio caso dovrebbe bastare sostituire "meber down" con "high latency o paket loss", domani posso fare dei test ma effettivamente non so se riesco a mettere sotto stress la linea. Il tutto dovrebbe funzionare una volta che nel log vedi che è stata tolta la linea usata dal gruppo di routing, proprio come viene loggato se togli il cavo.

    0
  • L

    Credo che tu stia facendo confusione. Il LoadBalance per pfsense utilizza l'algoritmo roundrobin: cioè prima connessione su una wan, seconda connessione sull'altra wan, terza connessione di nuovo sulla prima wan e via così. Così facendo sfrutti entrambe le linee WAN. Attualmente squid utilizza la wan di default e basta e quando una linea è sovraccarica (FailOver con Packet Loss e High Latency) o down (Member Down) utilizza la wan up. Ciao e grazie per l'aiuto.

    0
  • L

    Credo che ci siano sviluppi in ambito FailOver multiwan e squid. Installando l'ultimo RC (precisamente quella del Thu Apr 7 21:53:59 EDT 2011) senza configurare nulla se non spuntare il Default Gateway e settare gli OutBound NAT (che comunque credo siano settati di default) tutto funziona perfettamente. Supponiamo di navigare con squid attraverso la WAN, se questa va giù il sistema intercetta un altro gateway funzionante e da adesso in poi utilizza quello per navigare. Finalmente il comportamento che ci si aspetta senza creare regole strane di Floating e settaggi di proxy

    0
  • M

    grazie, provo subito anche perchè ho riscontrato parecchi problemi che, come hai già fatto tu dal principio, ho iniziato ad attribuire anche io al software.
    qualche giorno fa ho iniziato a tenere d'occhio i vari tiket per bug e feature ed avevo avuto il sospetto che il sistema di routing, gateway eccetera fossero molto più lontani di quello che poteva sembrare dall'essere ultimati.
    corro a provare!

    0
  • G

    Scusate , per riepilogare:
    ho configurato le due wan usando i routing group:
    1 load balance
    2 wan1failwan2
    3 wan2failwan1

    ora per poter fare in modo da poter usare squid in maniera non trasparente come devo procedere? LAN firewall rules, floating? outbond nat
    Grazie

    Ghido

    0
  • L

    Allora con la versione di 2 venerdì fa bastavano le regole di OutBound Nat e non settare alcun gateway di default e funzionava abbastanza. I client navigano. Con gli ultimi sviluppi non so.

    0
  • G

    Scusami, quindi bastava avere i tre gruppi di routing, settare i dns per ogni gateway, non impostare nessun gatway come default e abilitare gli outbound nat (con i valori predefiniti) ?
    io uso la versione di ieri.

    Grazie

    Ghido

    0
  • L

    Allora i dns per ciascun gruppo è necessario che siano settati. Io inoltre ho cambiato la politica di ricerca della connessione sul gruppo a pocket loss or high latency, perchè member down se hai dei router a monte non serve a nulla perchè funzionerebbe solo se i router sono spenti o hai fisicamente staccato il cavo di rete tra il router e il pfsense.

    0
  • G

    ma i dns li hai settati direttamente in system general setup?

    Grazie

    Ghido

    0
  • L

    Anche nel campo Monitor IP dove si configurano i gateway

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© 2020 Rubicon Communications, LLC | Privacy Policy