Ping Failover



  • Prezados
    Estou com uma dúvida que acredito que possam me ajudar.

    Estou tentando configurar o failover aqui na minha empresa, já postei algumas vezes aqui, já li o manual, já vi todos os docs do pfsense e até agora não consegui fazer funcionar. Mas enfim a minha dúvida é outra.

    Pelo que eu li, para se fazer a configuração do failover precisamos que cada gateway ping um ip monitor, no caso um dns.
    Só que por padrão o PFSENSE vem com o ping bloqueado.
    Criei uma regra que habilita o protocolo icmp e sai pelo gateway default. Que no caso é minha WAN1
    Ou seja, se eu estiver navegando pela WAN2 o ping continuará saindo pela WAN1.

    Acredito que as minhas configurações de failover não estão funcionando por causa disso, porque quando derrubo a wan2 por exemplo a WAN1 continua pingando o endereço, assim no status do load balancer diz que o link caiu, mas mesmo assim o endereço ip continua pingando.

    Alguem tem uma luz do que está certo ou errado?

    Att,



  • Paulo,

    Por padrão, o pfsense consegue sair para qualquer lugar. As regras de wan e lan não tem efeito sobre os pacotes que saem da localhost do pfsense.
    Se quiser limitar  o que o pfsense pode fazer na internet, voce precisa criar as regras em floating rules.

    O procedimento de teste de failover já foi descrito aqui  no forum.

    resumindo para você fica assim:

    • escolha dois ips remotos que aceitem ping(google, outra rede conhecida, uol,etc)

    • va em system-> routing -> routing e crie uma rota estatica com os ips escolhidos forçando o seu respectivo gateway de saida

    • volte em system -> routing -> gateway e configure o ip de monitoramento escolhido no passo 1



  • Voce poderia me explicar direito quando voce diz "as regras de wan e lan nao tem efeito sobre os pacotes que saem da localhost do pfsense"



  • @Paulo:

    Voce poderia me explicar direito quando voce diz "as regras de wan e lan nao tem efeito sobre os pacotes que saem da localhost do pfsense"

    O pfsense é fum firewall statefull. Toda regra criada nele tem que estar na interface onde a comunicação inicia.
    Exemplos:

    • Para impedir que seus usuários acessem sites https, voce cria a regra de bloqueio na LAN

    • Para impedir que acessem via internet sua interface do firewall, voce cria a regra na WAN

    • Para impedir que o pfsense(ou qualquer pacote dele) acesse algum recurso, a regra precisa ser aplicada nas 'floating rules', uma vez que o pfsense nao passará pela LAN para começar a comunicação


Log in to reply