PfSense 2 Rc1 Load-Balance ve Squid aynı makine üzerinde nasıl ayarlanır?
-
Uzun süredir beklediğimiz aynı makine üzerinden Sqid kullanabilme ümidini nihayet
görebilmiş olmaktan ve bunu müjdelemekten mutluluk duyuyorum. :)
Sistemin mantığını ve fikrini ortaya atan ve ana foruma yazan "Rubic" nickli bir Rus.
(Saolsun Tuzsuzdeli Ruslar bu konularda birşeyler tartışıyorlar ama fırsat bulup da
derleyip yazamıyorum dediğinde yine bir ışık göstermişti ;) )
Ondan okuduğum ve test ettiğim kadarıyla Proxy ile Load-Balance gayet güzel çalışıyor artık çok şükür.Nasıl oluyor da oluyor diyen arkadaşlar için ilk ip ucu şöyle;
Uzun süredir bu işle uğraşan bizlerin tahmin ettiği üzere sistemin mantığını Squid'i ethernetin loop-back adresi olan 127.0.0.1 adresine oturtmak suretiyle çözmüşler.
Dikkatli arkadaşlarımız farketmiştir PfSense 2 üzerindeki Squid üzerinde General Settings kısmında seçilebilen bacaklar da bu 127.0.0.1 adresi çıkıyordu.
Burdan pirelenmiştik muhtemelen bu yolla yapılabileceğini. Neyseki daha doğru dürüst dökümanlar bile yayınlanmadan çalışkan Rus it cileri bu bacağı seçerek değil ama
Lan bacağını seçip sadece aşağıdaki Custom bölümüne "tcp_outgoing_address 127.0.0.1" ini ekleyerek çalıştırmışlar bile.ikinci ip ucu ise;
PfSense üzerinde firewall/rules bölümündeki Floating sekmesi tam da bu gibi çoklu ethernet işleri için düşünülmüş.
Bu bölümün de yardımı ile 80 portuna gelen istekleri bacaklara Load-Balance ya da kendi yapınıza göre Fail-Over ettiriyoruz.
Detaylı resimlerini aşağıda sıralayacağım.
(Şimdiden kusura bakmayın ama rusçayı google translate sayesinde çevire çevire
yazdıklarını kendim de düzelterek faydalı olabilmesini sağlamaya çalışacağım.)Sistem yapılandırma ip leri şöyle;
WAN1: 192.168.0.240/24 GW: 192.168.0.1
WAN2: 10.0.0.3 / 8 GW: 10.0.0.1
LAN: 192.168.10.1/24- Multi-Wan Yapılandırma.
Daha önce Tuzsuzdeli arkadaşın da şu link de anlattığı gibi http://forum.pfsense.org/index.php/topic,29822.0.html
PfSense2 deki Load-Balance ve Fail-Over yapılandırmasının nasıl olması gerektiği aşşağıdaki resimde de açıkça görülmektedir.
Detaylı anlatmaya gerek bile kalmamış resimler gayet açık, Tuzsuzdeli arkadaşın anlattıklarına rağmen
yine de sıkıntı çekerseniz sorun anlatırız çekinmeyin lütfen..Rubic in sanal makinede hazırladığı sistemin resimleri şöyle;
- Suid Yapılandırması
Özel Seçenekler'e şu satırı ekleyin; "tcp_outgoing_address 127.0.0.1"
(Başka satırlarınız varsa da bunu en başa yazın)
Squid yapılandırması "Custom" bölümüne eklediğimiz bu satır ile sistemin LoopBack adresine yönlendirme yapıyoruz,
bu sayede squid sadece oraya yönlendiği için (Eskiden balans edilen PfSense arkasındaki 2. kurulan Squid PfSense yapısındaki gibi)
sistem içinde ortada bir yerde kalıyor hangi bacaktan çıkacağı ile ilgilenmediği için de tek başına
balans sisteminin arkasında sağlıklı bir şekilde çalışabiliyor.
Resimde de anlaşılacağı üzere seçilmesi gereken önemli kısımların resimleri yeterli, diğer kısımlar size kalmış.
- Giden NAT'ı Yapılandırmak?
Normalde burada çoğu kişi için otomatik kalmasında bir sakınca yok ama sistemine göre durumlar değişebileceğinden yapılması gerekeni gayet güzel anlatmış Rubic.
Örneğin kendi test ettiğim bir yerdeki sistemimde bu ayar otomatikte ama yakında aktaracağım başka bir yerdeki sistemime benim de yapmam gerekecek.
Geldik zurnanın zırt! dediği yere :)
- Firewall'ı Yapılandırmak;
"Floating" Sekmesine şu kuralı ekleyin:
Ayrıntıları;
Yine gayet açık, bütün önemli noktalar kırmızı numaralar ile işaretlenmiş.
Burda kendi yapınıza göre seçim yapabilirsiniz resimde fail-over seçilmiş ama
isterseniz kırmızı 8'i gateway olarak balansınızı seçebilirsiniz. (ben wireless network'ümde öyle seçtim)- Neden?
Rubic PfSense çıkışında paket trafiğini bu basitleştirilmiş diyagram ile açıklamaya çalışmış.
(pfSense OpenBSD Packet Filter kullanılır)
Squid normalde varsayılan WAN ağ geçidi üzerinden gönderir yani kaynak IP = varsayılan WAN IP üzerinden paketleri gönderir.
Squid deki Özel Seçeneklere yazdığımız "tcp_outgoing_address 127.0.0.1" kayıtlı olduğu outgoing adresi artık onun baktığı dış bacağıdır.
WAN1 arayüzü kopsa bile Firewall/Floating bölümünde eklediğimiz kural ile PfSense Wan2 üzerinden yollamaya devam edecektir.
Squid paketlerini 127.0.0.1 ip si üzerinden yollamaya devam ederken blok paketler NAT ile kaynak IP yi WAN1 ip sine dönüştürür.
o yoksa WAN2 ye dönüştürerek çıkışa gitmesini sağlanır, firewall/floatindeki çalışan filtremiz sayesinde her seferinde bir ağ geçiti atanır
bu döngü böylece devam eder.Kaynak; http://forum.pfsense.org/index.php/topic,34810.0.html
Anladığım kadarı ile metni dönüştürmeye çalıştım. Umarım faydalı olur..
Saygılarımla. -
Eline sağlık Cemx
Ruslar'ın forumunda bu ekran görüntülerine baktığımda bir tek en sonda neden loadbalance değil de failover olan gateway'i seçtiklerini anlayamamıştım.
Denemeden de bişey söyleyemeyeceğim şimdilik.
Umarım kısa sürede bunu devreye alıp, püf noktalarını buraya akataran arkadaşlar olur. -
İyi kasmışlar :)
-
ellerine saglik kardesim. teşekkürler
-
emeklerine sağlık gerçekten güzel ve faydalı bir anlatım olmuş.
Tebrik ederim hocam.
-
Ben de yukarıdaki yönergeleri takip ederek sistemi devreye aldım.
Gayet güzel çalışıyor.
Ancak traffic shaper ile beraber kullanınca, web trafiği biraz yavaşladı. Belki ben TS konfigürasyonunda bir hata yapıyor olabilirim.
Ayrıca şu an available packages'a baktığımda, paketleri bazen göstermiyor. Gösterdiği zamanlarda da sağlıklı bir şekilde install etmiyor. Bununla ilgili fikri olan var mı?Bir de floating rules'a eklediğimiz kuralda source olarak Wan1address yazmanın mantığını tam anlayamıyorum. Squidin default olarak Wan'dan çıkması sebebi ile mi bunu yapıyoruz ? Sadece bu mudur sebebi ?
Bu bahsi geçen satırda queue kısmında da ilgili queue'yi seçip traffic shape edebilir miyiz ? (şu an kısa süre içersinde deneme imkanım yok o yüzden buraya soruyorum)
-
Bu arada
pfsense'in günlük çıkan updatelerini kurarken dikkatli olun.
Dün bütün gün bir sorunla uğraştık.
En sonunda anladık ki, bir önceki gün çıkan update'i kurmamız yüzünden squid+loadbalance birarada çalışmamaya başlamış. 10 gün önceki snapshot'a geri dönerek sorunu çözdük.
Bir daha da düzgün çalışan sistemi update edersem ne olayım :) -
Günlük Updateleri ben tamamen kapattım :)
Sadece offical Updatelerde güncelleme yapıyorum…
Aynı zamanda yukardaki gibi değilde halen resmi olarak desteklenmedikce 2 makina üzerinde çalıştırılmasından yanayım...
-
Merhabalar… :) Herşey çok güzel gitti. Herşeyi ve sizin anlattığınız tüm ayarları yaptım. Şuanda load balance aktif görünüyor. Ama Squid'i kurmadan önceki hızıma, bu ayarları da yapmama rağmen ulaşamıyorum. Herşey doğru mu? şuanda... Yani olması gereken sistem bu mu?
Squid kurulunca loadbalance sanki iptal olmuş gibi geldi bana?
Rica etsem yardım edebilir misiniz? Sormak istediğim soruyu belkide tam soramadım, ilginiz için teşekkürler...
Bunun üzerine yine gece duramadım ve :D denemeye devam ettim. Şuanda gördüğüm kadarı ile torrent harici hiç bir sisteme yansımıyor bu hız. Yine de tatmin edici değil. Squid'i kurmadan önce download hızınde 2500 kb'ı görmüştüm. Ama şuanda aşağıda ki resimde de göreceğiniz üzere 1200 kb'ı geçmiyor. Bunun nedeni nedir anlayamadım. Bu konu ile ilgili bana söyleyeceğiniz ayarlar, püf noktaları varmı?
Bir de load balanca aktif olmasına rağmen diğer ip adresini aldığını hiç görmedim. Bu network'e daha çok yük bindikçe mi olur acaba?
–---------------------------------------------
Belki bir çok kişi diyecek ne yapıyor bu adam diye. Ama sorun felan yokmuş ortada. Ne kadar çok istek gönderirsem o kadar çok cevap veriyor pfsense. Şuanda aşağıdaki resimlerde tüm hat hızlarımı yakaladım. Herşey problemsiz ve süpper. Bana burada yardımcı olan herkese tek tek teşekkürü bir borç bilirim :)
Sistemim şuanda devrede. Yarın bakalım gündüz ağ yükü çoğalınca neler yapabilecek… Nerede sıkıntı verecek veya vermeyecek...
-
dış bacakları brich olarak ayarlamamak mı gerekiyor. bende çalışmadı
cevap bekliyorum. teşekkür ederim -
bridge olmadan da çalışıyor.
-
Günaydın arkadaşlar,
pfsense 1.2.3 load balance yaptım hatlarımda çok güzel çalıştı fakat web filtreleme çalışmadığı için pfsense 2.0 realese versiyonu kurudm burada tarif ettiğiniz gibi load balance yapmaya çalıştım getway leri oluşturdum 2 hattı bağladım 2 hattımda online ama diger hat hiç bir veri alıp göndermiyor bomboş bekliyor hız testlerindede tek hat hızı görüyorum yukarıdaki resmlere bakaraktan ben sadece load balance bölümünü oluşturamadım oranın içerisindeki ayarları nasıl yapmam lazım elimde 2 adet adsl hat var multi gatway yaptım bana load balance bölümünü yapılandırılmasını tarif edecek arkadaş var mı yardımcı olursa çok memnun olurum.
Teşekkürler.
iyi forumlar.
Burak. -
Merhabalar,
bir durumla karşılaştım zamanında karşılaşan oldu mu ?2.0 RC1 sürüne 5 tane interface bağladım ve load balance ayarlarımı yaptım squid kurdum aktif ettim transparent proxy seçtim HTTP trafiği sadece burada anlatılan ince ayarı daha yapmadım default WAN interface den çıkıyor doğrudur default interface i pfsensen den sökünce hayliyle LAN dan internet trafiği kesiliyor ama şunu fark ettim sadece HTTP trafiği kesiliyor LAN dan WAN ping, tracert, RDP türevi istekler yaptığımda load balance daki 2. hattımdan istekleri karşıladığımı gördüm bunu fark eden oldu mu ?
bu durumun mantığını çözemedim ???
-
Ben de yukarıdaki yönergeleri takip ederek sistemi devreye aldım.
Gayet güzel çalışıyor.
Ancak traffic shaper ile beraber kullanınca, web trafiği biraz yavaşladı. Belki ben TS konfigürasyonunda bir hata yapıyor olabilirim.
Ayrıca şu an available packages'a baktığımda, paketleri bazen göstermiyor. Gösterdiği zamanlarda da sağlıklı bir şekilde install etmiyor. Bununla ilgili fikri olan var mı?Bir de floating rules'a eklediğimiz kuralda source olarak Wan1address yazmanın mantığını tam anlayamıyorum. Squidin default olarak Wan'dan çıkması sebebi ile mi bunu yapıyoruz ? Sadece bu mudur sebebi ?
Bu bahsi geçen satırda queue kısmında da ilgili queue'yi seçip traffic shape edebilir miyiz ? (şu an kısa süre içersinde deneme imkanım yok o yüzden buraya soruyorum)
Merhabalar,
sanırım bende sizin bahsettiğiniz sorunları yaşıyorum şuan squid ve load balancer için gerekli ayarları yaptım gayet güzel bir şekilde squid ve loadbalancer çalışıyor. squid üzerinde sadece traffic mgmt da overall bandwidth throttling ve per host throttling kısıtlamak için değer atadım fakat pek bir farkını göremedim etki etmedi açıkcası. sonra traffic shaper yapayım dedim oda dışarı çıkışları aşırı derece yavaşlattı, sadece layer7 de p2p yi bloklamak için rule yazdım fakat oda çalışmadı p2p trafiğini geçiriyor oysaki bu işlemi squid i kurmadan önce yapmıştım çalışıyordu güzel bir şekilde bu sorunları aşmam için ne yapmam gerekli ? -
mrb,
Lightsquid squid squidGuard paketlerinin kurulu olduğu 2.0.1-RELEASE (i386) pfsense sistemimiz var.
üzerine 2 ethernet var WAN (DHCP) 192.168.0.97 lan 10.0.0.2
load balance yapmak için 3. ethernet kartını taktığım zaman kullanıcılar ip alamıyor. kablo takmasam bile aynı şekilde. neyden kaynaklanıor olabilir acaba?
-
Merhabalar,
Ethernet karti ayarlarinizi ve de kablolarinizi kontrol etmenizi tavsiye ederim.SGTR
-
3. ve 4. etherneti takinca wan ve lan backları yerin değişmişti tekrar tanımlaynca duzeldi.
fakat loadbalance olayını yapamadım anlatılan herşeyi uyguladım acaba nerde yanlış yaptım
-
Selam,
Firewall > rules > LAN sekmesindeki kuralları bir gözden geçirin. Ya da resmini paylaşın ona göre bir yerde eksiklik olup olmadıgına bakalım. Birde squid custom options kısmına "tcp_outgoing_address 127.0.0.1" yazdınız mı?
Sevgilerle,
SGTR -
diyer ayarlarda şu şekilde
-
birde system loglarında şöyle bi hata vermee başladı
10.0.0.1 opt2 wan.
