LAN 1/2 + 2 WAN



  • Hola amigos, no suelo postear en foros porque siempre encuentro respuesta a lo que busco, pero con esto no he podido dar con la solución.

    Bueno, físicamente mi red está así (quiero hacer un balanceador de carga para la red 192.168.2.0):

    Lo que no he logrado hacer es usar samba entre 192.168.1.0 con 192.168.2.0.
    El ping anda bien desde 2.0 a la 1.0, pero no así al revés
    No he intentado ni necesito hacer esto mismo con 192.168.0.0.

    Tengo instalado pfSense 2.0RC1 con las últimas actualizaciones.

    Ojalá puedan ayudarme en esto, de antemano muchas gracias.



  • Tienes que dar permisos entre las LANs para los servicios que desees. Si no hay permisos específicos no puede haber tráfico entre LANs.

    Samba requiere UDP 137-138, TCP 139 y 445

    Samba usa broadcast en algunas de sus operaciones. Por ejemplo para listar las máquinas en "Entorno de red". Si tienes varias subredes combiene que el servidor Samba haga de WINS y en las opciones de DHCP de pfSense indicar qué máquina hace de WINS.



  • Muchas gracias por la respuesta.
    Está bien, necesito la regla en el firewall para el servicio de samba, pero primero debería solucionar el tema de que no tengo respuesta de ping desde la red 1.0 hacia la 2.0, pero sí tengo respuesta a la inversa.
    Repito, muchas gracias por tu respuesta, saludos.



  • Para que el ping funcione de una red a otra hay que autorizar el tráfico ICMP.



  • Intenté dejar todo en any para ver si por ahí estaba el problema, no sé si fue que no supe hacerlo o fue que algo más pasa…
    Gracias, seguiré intentando.



  • No, any, no.

    Porque el ping si no indicas destino se va por WAN, creo. Almenos en la 1.2.3.



  • Hola amigos,
    Quiero hacer balanceo y no puedo pasar a internet con la WAN2

    habilite el load balancer en pf 1.2.3-RELEASE asi:  http://doc.pfsense.org/index.php/MultiWanVersion1.2

    Mis proveedores de isp son 2 equipos con pfsense 1.2.3-RELEASE , estoy pasando por mac las tarjetas WAN y WAN2 ademas de designarle DCHP a cada una segun su ip static 192.168.5.10/24,  192.168.2.10/24.

    En mi tercera maquina quiero hacer balanceo:

    Mi LAN tiene ip static 192.168.1.1
    Mi WAN tiene Ip static  192.168.5.10/24  gateway 192.168.5.1  (con esta puedo navegar sin problemas)
    Mi WAN2 tiene IP static  192.168.2.10/24 gateway 192.168.2.1 y aqui esta mi problema, de mi LAN no puedo entrar a internet, solo puedo hacer pin a mis 2 isp.

    Las reglas de mi LAN y  mi WAN2 nose como hacerlo y creo que esto puede ser.
    Lo raro es que al principio cuando deje WAN y WAN2 como DHCP, pude navegar en la WAN2 pero retirando el cable de WAN y reiniciando la maquina y despues las deje static y no me deja pasar WAN2.

    Favor una manito, les estaré agradecido.



  • Prueba primero sin balanceo poniendo la puerta en WAN2 como Gateway en las reglas de LAN.

    De esta manera podrás comprobar el enlace.



  • Hola sr. Bellera.
    Gracias por responder.
    Yo reemplazé mis proveedores al principio al estar en DHCP y funciona (me entregan internet las 2 isp sin problema solo en la WAN)

    Viendo su tutorial en http://www.bellera.cat/josep/pfsense/indice.html
    Creo que esto me falta; darle reglas a LAN y WAN2, el problema es que no entiendo mucho la regla, cual debo hacer para salir a todo destino. ya que aparecen varias.

    Probaré y les cuento.
    Mi intension proxima es habilitarle solo squid para hacer cache.
    Desde ya gracias.



  • Perdon, Esta sí,  esta corresponde:

    Firewall: Rules  WAN y WAN2 quedan por defecto con su ip static segun cada isp designado.
    LAN  ________________________________________________________________________________
        Proto    Source   Port Destination Port Gateway Schedule Description

    • LAN net * 192.168.5.0/24 * *         Asegúrese de que una zona
    • LAN net * WAN2 net  * *         Asegúrese de que el tráfico
              * LAN net *     *               *        Loadbalancer    Todo lo demás se repartieron

    Cuando parte la maquina pasa todo por WAN2

    Load Balancer: Pool_________________________________________________________________
    Name     Type Servers/Gateways Port Monitor Description
    –-----------------------------------------------------------------------------------------------------------
    Loadbalance  gateway      wan              200.50.96.90            Round Robin equilibrio de carga
                        (balance)    opt1         200.28.4.129

    WAN1FailsToWAN2 gateway  wan            200.28.4.129          WAN 2 preferido cuando WAN 1 no
                          (failover)  opt1              200.50.96.90

    WAN2FailsToWAN1 gateway  opt1          200.50.96.90          WAN 1 preferido cuando WAN 2 no
                              (failover) wan          200.28.4.129


    Lo otro es que me aparece todo offline en Status: Load Balancer: Pool

    Espero sus comentarios, gracias



  • Arriba, en Documentación:

    Balanceo
    Algunos hilos de este fórum…
    http://forum.pfsense.org/index.php?topic=19079.0
    http://forum.pfsense.org/index.php?topic=20382.0

    me aparece todo offline en Status

    Si los enlaces están offline esto quiere decir que las IPs escogidas para monitorear no sirven como están puestas. He probado con ellas y no contestan a ping.

    La primera sí contesta a DNS pero me diniega el acceso. Esto es normal en muchos DNS si haces peticiones desde otra red que no sea la propia del ISP. Pero la segunda IP no contesta ni a los DNS.

    Revisa pues qué IPs monitoreas y el método empleado (DNS o ping).



  • Hola a todo el foro.
    sr. Bellera Realice 2 modificaciones.
    1. WAN y WAN2 quedaron como DHCP.
    2. DNS (puse 8.8.8.8 y 8.8.4.4) lo aconcejaba otra persona en un foro.

    Ahora logro entrar de mi LAN a internet partiendo con la WAN2 (yo veo en el trafico de mi proveedor isp que tiene un pfsense).
    Si desconecto WAN2 al cabo de unos segundos pasa a la WAN y se queda conectado a esta ultima. Aquí no veo que vuelva a WAN2.
    solo reiniciando comienza de cero. (porque no parte con WAN? sino que lo hace por WAN2 ??)

    Lo que no veo es como realiza el balanceo. que mas reglas debo poner o que provoco para asegurarme de que funciona.He estado realizando descargas de WAN2 y no pasa a WAN. (aqui puedo ver el trafico tambien ya que es otro pfsense) queda muy lenta la red solo por 1 linea.

    Lo otro; como le digo a WAN su ancho de banda y a WAN2 lo mismo (pregunto porque no me deja generar mas OPT1, para el truco)
    Bueno, un saludo a todos y si alguien puede darme alguna foto de las reglas y configuraciones, sino es mucho la molestia.
    Tambien puedo enviar pantallazos si me lo piden.



  • En logs tienes un apartado para el balanceador donde dice todo lo que ha pasado.

    Un pool de balanceo incluye failover, por lo que si falla un enlace tiene que entrar el otro. Si no es así es que la configuración no es correcta. Podría estar pasando que el acceso a los dos DNS que has puesto se haga sólo por uno de los canales. Prueba a poner una regla que garantice para cada DNS por qué puerta se va a él.

    UDP * * 8.8.8.8 53 enlace1
    UDP * * 8.8.4.4 53 enlace2
    

    Se supone que de esto debería encargarse el balanceador, pero como nunca lo he probado así, no está de más.

    Para ver si vas por un lado u otro busca una página de les que da la IP del usuario y le vas dando a refrescar del navegador. Tienes que ver que vas cambiando de una IP a otra. Esto en vacío, sin otros usuarios que puedan interferir el test.

    En cuanto al caudal sólo hay que repetir los enlaces dentro del pool de forma que sean proporcionales. Si WAN es de 2 Mbit/s y WAN2 de 3 Mbit/s habrá que poner en el pool 2 veces a WAN y 3 veces a WAN2. No tiene nada que ver con crear nuevas interfases OPTx.



  • Bien, gracias.
    Comenzé a trabajara con la version 2.0 rc1, ya que estaba con la 123 relian….
    Es diferente todo, pero ya la tengo tirando por WAN y al quitarla pasa a la WAN2, luego vuelve a WAN cuanto establesco conexion de WAN2, ahora solo me falta ver que efectivamente haga balanceo probando con las IP de algunas paginas.

    Gracias sr Bellera y seguiré probando, saludos.

    Consulta, hice proxy cache y como interfase puse la LAN, esta bien eso?

    Saludos



  • Consulta. Hice proxy caché y como interfase puse la LAN, ¿está bien eso?

    Sí, si quieres usar a squid como proxy caché para los equipos que estén conectados a tu LAN.

    Lo que hay no sé es si en la 2.0 el proxy caché sale (o puede salir) por balanceo. En la 1.2.3 no puede. Siempre sale por WAN.

    La soluciones a esto son (o eran):

    • Poner dos pfSense: uno dedicado a proxy caché y el otro a balanceo.
    • Poner un proxy caché externo, en otro equipo.

    Cuando se precisa más de un equipo puede emplearse virtualización (VirtualBox…)



  • Saludos,
    Una consulta, en mi puesta en marcha de pfsense 2.0 puedo habilitar balanceo y fallo de WAN y WAN2 (aqui me falta revisar balanceo) pero agrego el pakete de squid y realizo bloqueo de algunas paginas y todo bien (funciona), pero despues de cargar todo y al salir del navegador y quiero entrar a mi lan por 192.168.1.1 soy bloqueado por el servidor. aparece este mensaje:
    ERROR
    El URL solicitado no se ha podido conseguir
    Mientras se intentaba procesar la petición:
    GET / HTTP/1.1
    Host: 192.168.1.1
    Connection: keep-alive
    User-Agent: Mozilla/5.0 (X11; Linux i686) AppleWebKit/534.24 (KHTML, like Gecko) Chrome/11.0.696.57 Safari/534.24
    Accept: application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,/;q=0.5
    Accept-Encoding: gzip,deflate,sdch
    Accept-Language: es-419,es;q=0.8
    Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3
    Ha ocurrido el siguiente problema:
    Petición no válida.
    Algún aspecto de la petición HTTP no es válido. Posibles problemas:
    Falta o es desconocido el método de la petición (no es GET ni POST)
    Falta el URL
    Falta el identificador HTTP (HTTP/1.0)
    La petición es demasiado grande.
    Hay caracteres ilegales en el nombre de máquina; el carácter subrayado (_) no está permitido.
    Generated Fri, 13 May 2011 16:39:30 GMT by localhost (squid/2.7.STABLE9)
    –----------------------------------------------------------------------------------------------------------------------

    Esto me a ocurrido 2 veces y tuve que restaurar por default cada ves, ahora si alguien sabe que hice mal, para que no me pase en linea con  mis usuarios.
    Otra cosa, yo puse balanceo y por fallo: HTTP, cual recomiendan, TCP, HTTPS, etc



  • ¿Proxy transparente y página https?



  • Ya pude entrar por consola 8) Shell
    colocando squid -k shutdown, despues entrar por web en LAN pude desbloquar squid.

    Estas fotos muestran mi configuracion y la pregunta relacionada con el purto (si esta bien a ambos) y monitor (HTTP) o HTTPS porque me da la opcion la 2.0.
    espero suban las fotos






  • :) hola…

    ten en cuenta que el dns de google es 8.8.8.8  te puede estar afectando la navegacion al usar una direccion ip publica.



  • A ver, no he practicado aún con la 2.0… ¿en los pantallazos qué quiere decir port 80 y monitor HTTP?

    Espero que no quiera decir que 8.8.8.4 y 8.8.8.8 son servidores web a monitorear por el puerto 80...

    Si fuera así, los pools no estarían correctos, puesto que 8.8.8.4 y 8.8.8.8 son DNS (UDP 53).


Log in to reply