[Resolvido] LoadBalance + Sticky Connections + Bancos



  • Bom dia rapaziada, criei meu loadBalance e FailOver baseado nesse tutorial (video).
    Youtube Video

    Porém o sticky não está funcionando para bancos ficaram somente em 1 link. Pois toda vez que troca-se o IP ou Link cai a sessão de banco.

    Já dei uma fuçada no fórum a respeito disso.

    Att.,

    Rodrigo



  • Joga seu https todo para um um link só com fail over para o outro.

    Configura esta regra antes da regra de balanceamento.

    Nos tutoriais, tem uma dica sobre como aplicar um Patch no pfsense para adicionar o campo com tempo limite do stick.

    http://forum.pfsense.org/index.php/topic,8930.msg229710.html#msg229710



  • Verifiquei o post, porém criei a regra que achei mais fácil      TCP  > **** que  solicicar WAN > HTTPS  Vai para o LINK 1.

    Não funcionou também .

    Att.,

    rodrigo



  • @rodsgobbo:

    Não funcionou também .

    Tem certeza que esta regra está "antes" da regra do loadbalance? É sempre importante lembrar que o fw é interpretado sequencialmente e, neste caso, a ordem dos tratores altera sim a construção do viaduto!

    Se condições da regra "A" forem satisfeitas, ela será executada em detrimento da regra "B"!

    Outra observação… você colocou a regra na sua WAN? Se foi isso, você precisa colocá-la na sua LAN!

    Um último detalhe é que alguns sites de bancos mantém um limite de tempo muito curto para seções abertas entre o cliente e o site. Isso pode ocasionar alguns problemas pontuais de encerramento da seção e consequentemente perda da situação de "sticky". Mas o marcelloc, já deu uma dica bacana sobre um path onde você pode regular este "tempo de seção"!

    Abraços!
    Jack



  • Segue a tabela de regras.

    Att.,

    rodrigo



  • Você não especificou/fixou qual é o gateway de saída para a conexão TCP/443!

    Precisa fazer isso na rule, em "advances" (veja tela)!

    Abraços!
    Jack




  • Especifiquei sim WANWG.

    Att.,

    Rodrigo



  • @rodsgobbo:

    Especifiquei sim WANWG.

    Não é o que aparece na sua tela…

    Veja em gateway... você tem um "*". Contudo, se um gateway não foi definido como padrão em "System: Gateways", sua regra não resolve o seu problema. Force um gateway padrão conforme minha tela!

    EDIT

    Nota: Outro detalhe importante… a sua regra (que está de todo jeito errada, conforme discutido abaixo), onde você especifica o gateway WANWG, está depois da regra mais genérica. Logo nunca seria executada!

    Abraços!
    Jack



  • Nenhuma regra para 443 esta correta

    os ips dos bancos estão na internet e não em wan_net ou lanaddress

    o correto em destination é any ou *
    @rodsgobbo:

    Segue a tabela de regras.

    Att.,

    rodrigo



  • @marcelloc:

    Nenhuma regra para 443 esta correta

    Opa… mto bem observado marcelloc. Eu realmente não havia percebido que o colega tinha deixado LAN Address no campo Destination.

    Isso + minha dica = morta a lebre! :)

    Abraços!
    Jack



  • Corrigida. Esperando teste do usuário no banco safra.

    obrigado senhores !



  • @rodsgobbo:

    Corrigida. Esperando teste do usuário no banco safra.

    Não esquece de corrigir as outras regras também…  ;)



  • Pergunta boba mas. O que tem de errado nas outras ?rsrssr

    Att.,

    rodrigo



  • @rodsgobbo:

    Pergunta boba mas. O que tem de errado nas outras ?rsrssr

    A sua anti-lock rule sugere que você usa seu pfsense via http e não https.

    Se isso estiver correto, a regra na lan para a lan_address porta 443 não tem uso.

    Se 172.18.1.14 for um ip de servidor na OPT1, então o seu  gatewayLB está inutilizando a regra, uma vez que você esta dizendo para o pfsense empurrar o trafego para o LB e não para o roteamento padrão.



  • A primeira regra eu arrumei colocando o Pfsense na 443.

    Essa do ip 172.18.1.14, é que todos que solicitarem meu ftp externo irem direto para essa máquina com o ip 14.



  • @rodsgobbo:

    Essa do ip 172.18.1.14, é que todos que solicitarem meu ftp externo irem direto para essa máquina com o ip 14.

    ftp externo acessado via lan com regra de balanceamento? parece estranho  ??? , mas se estiver funcionando não precisa alterar.



  • se digitar ftp.meuftp.com.br  quando chegar no meu firewall ele manda para a máquina 14. Ainda não testei.



  • @rodsgobbo:

    se digitar ftp.meuftp.com.br  quando chegar no meu firewall ele manda para a máquina 14. Ainda não testei.

    E não vai funcionar…

    O que você está querendo fazer é NAT Port Forwarding. Faça isso pelo menu "Firewall->NAT"!

    Abraços!
    Jack



  • RESOLVIDO A PARTE DE BANCOS

    O FTP FICARIA ASSIM ?



  • src port fica any tambem.

    Acho que ainda sim o ftp helper ia ajudar melhor.



  • FTP HELPER ? heim ? onde ? quando ? rs



  • System: Advanced: System Tunables -> debug.pfftpproxy



  • Marcelo e Jack obrigado pela força !



  • @rodsgobbo:

    Marcelo e Jack obrigado pela força !

    rodsgobbo,

    Disponha… É exatamente este o espírito da comunidade de SL! ;)

    Abraços!
    Jack



  • Bom dia.

    Estou com o mesmo problema aqui.
    Fiz as configurações que lhe indicaram.
    Com você teu certo?
    Está funcionando todos os bancos?


Log in to reply