4. Ping Failover

Ping Failover

  • P

    Prezados
    Estou com uma dúvida que acredito que possam me ajudar.

    Estou tentando configurar o failover aqui na minha empresa, já postei algumas vezes aqui, já li o manual, já vi todos os docs do pfsense e até agora não consegui fazer funcionar. Mas enfim a minha dúvida é outra.

    Pelo que eu li, para se fazer a configuração do failover precisamos que cada gateway ping um ip monitor, no caso um dns.
    Só que por padrão o PFSENSE vem com o ping bloqueado.
    Criei uma regra que habilita o protocolo icmp e sai pelo gateway default. Que no caso é minha WAN1
    Ou seja, se eu estiver navegando pela WAN2 o ping continuará saindo pela WAN1.

    Acredito que as minhas configurações de failover não estão funcionando por causa disso, porque quando derrubo a wan2 por exemplo a WAN1 continua pingando o endereço, assim no status do load balancer diz que o link caiu, mas mesmo assim o endereço ip continua pingando.

    Alguem tem uma luz do que está certo ou errado?

    Att,

    0

  • Paulo,

    Por padrão, o pfsense consegue sair para qualquer lugar. As regras de wan e lan não tem efeito sobre os pacotes que saem da localhost do pfsense.
    Se quiser limitar  o que o pfsense pode fazer na internet, voce precisa criar as regras em floating rules.

    O procedimento de teste de failover já foi descrito aqui  no forum.

    resumindo para você fica assim:

    • escolha dois ips remotos que aceitem ping(google, outra rede conhecida, uol,etc)

    • va em system-> routing -> routing e crie uma rota estatica com os ips escolhidos forçando o seu respectivo gateway de saida

    • volte em system -> routing -> gateway e configure o ip de monitoramento escolhido no passo 1

    0
  • P

    Voce poderia me explicar direito quando voce diz "as regras de wan e lan nao tem efeito sobre os pacotes que saem da localhost do pfsense"

    0

  • @Paulo:

    Voce poderia me explicar direito quando voce diz "as regras de wan e lan nao tem efeito sobre os pacotes que saem da localhost do pfsense"

    O pfsense é fum firewall statefull. Toda regra criada nele tem que estar na interface onde a comunicação inicia.
    Exemplos:

    • Para impedir que seus usuários acessem sites https, voce cria a regra de bloqueio na LAN

    • Para impedir que acessem via internet sua interface do firewall, voce cria a regra na WAN

    • Para impedir que o pfsense(ou qualquer pacote dele) acesse algum recurso, a regra precisa ser aplicada nas 'floating rules', uma vez que o pfsense nao passará pela LAN para começar a comunicação

    0
Log in to reply
 

Products

Services

Support

News

Resources

Company

Our Mission

We provide leading-edge network security at a fair price - regardless of organizational size or network sophistication. We believe that an open-source security model offers disruptive pricing along with the agility required to quickly address emerging threats.

Subscribe to our Newsletter

Product information, software announcements, and special offers. See our newsletter archive for past announcements.

© Copyright 2019 Rubicon Communications, LLC | Privacy Policy