2 WAN Load Balancer на ресурс Вконтакте.



  • До недавнего времени работал от одного канала ADSL, шейпил юзеров за НАТом, на Pfsense 1.2.3, канала стало мало.
    Собрал ещё машину, поставил Pfsense 1.2.2, купил ещё канал ADSL, настроил балансировку, закомутировал этот баланс на свой сервер, всё работает, НО?..
    Люди недовольны! Теперь не могут авторизироваться на ресурсе Вконтакте, ПОЧЕМУ? Все остальные сайты майлру, яндекс и т.п. работают.  ::) ;D ??? Почему так, этому ресурсу 2 IP не нравится?



  • Да Вконтакте не любит когда у юзера меняется ip с каждым запросом!Много сайтов которые такое не любят.



  • Попробуйте включить функцию Use sticky connections в меню System: Advanced: Miscellaneous. На сколько помню, когда пробывал делать то же самое с адсл интернетом была такая проблема и не только с сайтами….



  • И еще встречный вопрос тогда, как настраиваете модемы перед pf ???



  • не думаю, что стоит заморачиваться со Sticky connections, поскольку в 1.2.2 и 1.2.3 они попросту не работают. Скорее всего будет пропадать интернет или еще какие глюки.
    Может быть стоит попробовать в 2.0 или настроить routing policy для их IP pools.



  • @panika:

    И еще встречный вопрос тогда, как настраиваете модемы перед pf ???

    А бирдже самое то !
    у меня так настроено .



  • @Ozzik:

    не думаю, что стоит заморачиваться со Sticky connections, поскольку в 1.2.2 и 1.2.3 они попросту не работают.

    Сильное заявление, но не думаю, что верное.
    Одно верно, проблема не имеет ничего общего с sticky connections.



  • @Ozzik:

    Одно верно, проблема не имеет ничего общего с sticky connections.

    Будет интересно услышать решение проблемы… Было такое когда пытался настроить loadbalancer.

    @Tamriel:

    @panika:

    И еще встречный вопрос тогда, как настраиваете модемы перед pf ???

    А бирдже самое то !
    у меня так настроено .

    На момент когда я пробывал 2 адсл завести на loadbalancer, модемы были настроены в рррое…(это явно не правильно).



  • Evgeny, можешь поискать на форуме. Разработчики сами в курсе, что работает эта функция очень криво. Т.е. для продакшена не годится.



  • Друзья!
    не хочу сразу в лоб получить, но неужели - выход через линукс?  :-
    http://habrahabr.ru/blogs/linux/54748/
    У меня дома pfsense работает с одним WAN нормально, я вообще прусь от нее. Но если WANов два и более, то дейстительно никак нельзя настроить? (чтобы и вконтакты и прочее все работало стабильно?)



  • @panika:

    Попробуйте включить функцию Use sticky connections в меню System: Advanced: Miscellaneous. На сколько помню, когда пробывал делать то же самое с адсл интернетом была такая проблема и не только с сайтами….

    Включил эту опцию, перезагрузил сервер, тестирую, вроде стало лучше авторизироваться Вконтакте.



  • @panika:

    И еще встречный вопрос тогда, как настраиваете модемы перед pf ???

    Оба модема в режимах роутера, ADSL PPPoE, на выходе за НАТом две подсети 192.168.2.254 и 192.168.4.254, их и балансирую.
    Причём прописывал DNSы провайдера в Load Balancer, та же самая ситуация, сечас прописал как раньше Гейтвеи модемов.



  • @priliw:

    @panika:

    И еще встречный вопрос тогда, как настраиваете модемы перед pf ???

    Оба модема в режимах роутера, ADSL PPPoE, на выходе за НАТом две подсети 192.168.2.254 и 192.168.4.254, их и балансирую.
    Причём прописывал DNSы провайдера в Load Balancer, та же самая ситуация, сечас прописал как раньше Гейтвеи модемов.

    Попробуйте еще настроить модемы в режим бридж, а авторизацию настроить на интерфейсах, т.к. у вашей машины в любом случае ресурсов побольше чем у модемов…. и двойной нат из сети не очень хорошо.



  • @priliw:

    @panika:

    Попробуйте включить функцию Use sticky connections в меню System: Advanced: Miscellaneous. На сколько помню, когда пробывал делать то же самое с адсл интернетом была такая проблема и не только с сайтами….

    Включил эту опцию, перезагрузил сервер, тестирую, вроде стало лучше авторизироваться Вконтакте.

    Ну насколько помню, мне эта функция помогла устранить проблему с дисконнектами в играх у людей, прекратились разрывы icq (и подобных клиентов), но и контакт сразу же выдал свою претензию на авторизацию…



  • не поможет, каждый запрос - отдельное подключение. Нужно делать Static route на vk подсети через 1 интерфейс.



  • @panika:

    @priliw:

    @panika:

    И еще встречный вопрос тогда, как настраиваете модемы перед pf ???

    Оба модема в режимах роутера, ADSL PPPoE, на выходе за НАТом две подсети 192.168.2.254 и 192.168.4.254, их и балансирую.
    Причём прописывал DNSы провайдера в Load Balancer, та же самая ситуация, сечас прописал как раньше Гейтвеи модемов.

    Попробуйте еще настроить модемы в режим бридж, а авторизацию настроить на интерфейсах, т.к. у вашей машины в любом случае ресурсов побольше чем у модемов…. и двойной нат из сети не очень хорошо.

    Впринципе всё заработало, двойной НАТ нехорошо, почему?



  • Сильное заявление, но не думаю, что верное.
    Одно верно, проблема не имеет ничего общего с sticky connections.

    Та же проблема. Как тогда быть? у меня (PPPoE)+(adsl модем роутером - адрес по dhcp)

    Впринципе всё заработало

    Поподробней можно?



  • @artemvst:

    Сильное заявление, но не думаю, что верное.
    Одно верно, проблема не имеет ничего общего с sticky connections.

    Та же проблема. Как тогда быть? у меня (PPPoE)+(adsl модем роутером - адрес по dhcp)

    Впринципе всё заработало

    Поподробней можно?

    Заработало то, заработало, но что то с балансировкой опять произошло. Делаю прокачку, работает только один интерфейс причём WAN2. Отключаю функцию Use sticky connections, включается балансировка, но проблема с авторизацией Вконтакте опять обнаруживается. А если модемы в бридж поставить, то не помню как на втором интерфейсе поднять PPPoE? Там только Static и DHCP.



  • Заработало то, заработало, но что то с балансировкой опять произошло. Делаю прокачку, работает только один интерфейс причём WAN2. Отключаю функцию Use sticky connections, включается балансировка, но проблема с авторизацией Вконтакте опять обнаруживается. А если модемы в бридж поставить, то не помню как на втором интерфейсе поднять PPPoE? Там только Static и DHCP.

    Видимо не в нем дело. А способ подключения вряд ли имеет значение. Дело в том, что эта проблема у меня появилась недавно!!! Раньше (1-2 месяца назад)все работало! Что изменилось не знаю. Игрался только с monitor IP(сейчас 8.8.8.8 и 8.8.4.4).



  • @artemvst:

    Заработало то, заработало, но что то с балансировкой опять произошло. Делаю прокачку, работает только один интерфейс причём WAN2. Отключаю функцию Use sticky connections, включается балансировка, но проблема с авторизацией Вконтакте опять обнаруживается. А если модемы в бридж поставить, то не помню как на втором интерфейсе поднять PPPoE? Там только Static и DHCP.

    Видимо не в нем дело. А способ подключения вряд ли имеет значение. Дело в том, что эта проблема у меня появилась недавно!!! Раньше (1-2 месяца назад)все работало! Что изменилось не знаю. Игрался только с monitor IP(сейчас 8.8.8.8 и 8.8.4.4).

    Я зашёл в тупик, отказываться от идеи балансировки неохота, но если так будет работать, то придётся выключить один канал.



  • Может Pfsense 2.0 сможет нормально сбалансировать нагрузку, уж очень жалко от этой идеи отказываться?
    Железо такое покупать проблематично. Почему при включёной функции Use sticky connections ни как траффик не идёт через WAN, а весь лезет через WAN2?



  • @priliw:

    Может Pfsense 2.0 сможет нормально сбалансировать нагрузку, уж очень жалко от этой идеи отказываться?
    Железо такое покупать проблематично. Почему при включёной функции Use sticky connections ни как траффик не идёт через WAN, а весь лезет через WAN2?

    совсем весь или только множество подключений к одному сайту?
    Беру свои слова про "sticky connections", должно помогать в случае с сайтами, которые не любят смену IP.



  • В разрешающих правилах (LAN)только для указанного трафика принудительно gateway указать не пробовали ? Думаю должно отбить охоту юзать loadbalanser.



  • @dvserg:

    В разрешающих правилах (LAN)только для указанного трафика принудительно gateway указать не пробовали ? Думаю должно отбить охоту юзать loadbalanser. (вот тут не понял, поясните)

    А вобще - вроде вышло. Пока работает. уж точно НАМНОГО стабильнее. Как…

    • В разрешающих правилах (LAN)только для указанного трафика принудительно gateway указать не пробовали ?
    • Попробовал.

    1. идем сюда, и узнаем все 8(восемь) по крайней мере на сейчас, ip контакта - 1whois.ru. Ну или nslookup вконтактеру(для уверенности берем еще ip вк.ком).
    2. Идем в PF firewall - aliases. Создаем список со всеми ip.
    3. firewall - rules - lan создаем правило.
       Action - pass, Interface - lan, Protocol - any, Destination - single host or alias(тут пишем название нашего), Gateway - opt1-opt1.
    4. ставим правило в САМЫЙ верх.
    5. Наслаждаемся работой PF, не сайтом ;D.

    делаем - проверяем, - отписываемся.

    Тут же вопрос - где и как посмотреть log всего этого. Если в system log - то где именно?



  • System Log > Firewall.

    Думаю должно отбить охоту юзать loadbalanser. (вот тут не понял, поясните)
    

    Ну тут вроде ничего сложного для понимания. Балансер настраивается, как (через) Default gateway.
    А для контактов нужно выбрать какой-либо один интерфейс. Для этого в правилах, разрешающих контакты,  принудительно указываем через какой шлюз работать.


Log in to reply