Ping Failover
-
Prezados
Estou com uma dúvida que acredito que possam me ajudar.Estou tentando configurar o failover aqui na minha empresa, já postei algumas vezes aqui, já li o manual, já vi todos os docs do pfsense e até agora não consegui fazer funcionar. Mas enfim a minha dúvida é outra.
Pelo que eu li, para se fazer a configuração do failover precisamos que cada gateway ping um ip monitor, no caso um dns.
Só que por padrão o PFSENSE vem com o ping bloqueado.
Criei uma regra que habilita o protocolo icmp e sai pelo gateway default. Que no caso é minha WAN1
Ou seja, se eu estiver navegando pela WAN2 o ping continuará saindo pela WAN1.Acredito que as minhas configurações de failover não estão funcionando por causa disso, porque quando derrubo a wan2 por exemplo a WAN1 continua pingando o endereço, assim no status do load balancer diz que o link caiu, mas mesmo assim o endereço ip continua pingando.
Alguem tem uma luz do que está certo ou errado?
Att,
-
Paulo,
Por padrão, o pfsense consegue sair para qualquer lugar. As regras de wan e lan não tem efeito sobre os pacotes que saem da localhost do pfsense.
Se quiser limitar o que o pfsense pode fazer na internet, voce precisa criar as regras em floating rules.O procedimento de teste de failover já foi descrito aqui no forum.
resumindo para você fica assim:
-
escolha dois ips remotos que aceitem ping(google, outra rede conhecida, uol,etc)
-
va em system-> routing -> routing e crie uma rota estatica com os ips escolhidos forçando o seu respectivo gateway de saida
-
volte em system -> routing -> gateway e configure o ip de monitoramento escolhido no passo 1
-
-
Voce poderia me explicar direito quando voce diz "as regras de wan e lan nao tem efeito sobre os pacotes que saem da localhost do pfsense"
-
Voce poderia me explicar direito quando voce diz "as regras de wan e lan nao tem efeito sobre os pacotes que saem da localhost do pfsense"
O pfsense é fum firewall statefull. Toda regra criada nele tem que estar na interface onde a comunicação inicia.
Exemplos:-
Para impedir que seus usuários acessem sites https, voce cria a regra de bloqueio na LAN
-
Para impedir que acessem via internet sua interface do firewall, voce cria a regra na WAN
-
Para impedir que o pfsense(ou qualquer pacote dele) acesse algum recurso, a regra precisa ser aplicada nas 'floating rules', uma vez que o pfsense nao passará pela LAN para começar a comunicação
-