Problema com Squid + Load Balance



  • Boa noite,

    Estou com um problema no pfSense configurado para fazer Load Balance com o Squid em modo transparente.
    Fiz aquela floating rule que pega o trafego sainte da WAN1 com Source IP "WAN1 Address" e destino HTTP (80) redirecionando para o Gateway LoadBalance. Até aí tudo bem, o balanceamento funciona.

    Mas eu preciso fazer com que alguns IPs internos da LAN saiam para WEB apenas pelo gateway default que é a WAN1. Matutei bastante mas não consegui fazer isso, já que a regra de balanceamento pega tudo que sai pela WAN1 na porta 80 e joga no LoadBalance. Não dá pra usar IP de origem pra definir o gateway, só consigo excluir IPs de destino(Sites externos) nessa regra de floating >:(

    Criar uma regra na interface LAN também não adianta, já que o trafego vai cair sempre na regra de Floating que fica na saída. E agora  ???



  • Você tem mais de um ip de wan?

    Você já tentou configurar uma outbound nat distintos para estes ips?

    O tcp outgoing address do squid está 127.0.0.1 ou o ip da wan?



  • marcelloc,

    Só tenho 1 IP configurado na WAN1. Se tiver mais IPs, consigo contornar o problema?

    O tcp outgoing address está 127.0.0.1

    Não tentei configurar outbound NAT, está no padrão do pfSense. Como seria essa regra outbound?

    Obs: Estou usando a última versão do pfSense.



  • Se tiver que passar tudo pelo proxy, voce pode tentar criar uma acl no squid que muda o tcp outgoing address para o ip da wan1.

    De outra forma, você pode subir um segundo proxy para estes ips especiais ou não deixar passar direto.



  • A intenção é deixar esses IPs passarem direto fora do proxy. Isso eu consigo. Mas também preciso que eles passem por fora do Load balance pela WAN1 direto pra qualquer site de destino.
    Do jeito que está, os pacotes em direção a porta 80 passam pela WAN1, vão para regra floating e entram no Load balance. Eu queria continuar com load balance do Squid mas também preciso que os IPs que não passam pelo proxy saiam somente pela WAN1, sem fazer Load balance. Essa é a questão.

    A regra Floating está desse jeito:

    Interface= WAN1
    Direction= out
    Source= WAN1 Address
    Destination= any
    Dst port= 80
    Gateway= Load Balance

    Será que tem como resolver com regras de NAT?



  • Cria uma regra na lan forçando o gateway para os ips especiais e veja e ela prevalece sobre a floating rule.



  • Então, já tentei criar essa regra na LAN, mas como a regra de floating para o LB está na saída da  WAN1, ela sempre prevalece.
    Estou sem idéias.



  • Eu também estou ficando sem idéias :(

    Você já tentou acertar isso via acl no squid. Se você conseguir acertar o tcp_outgoing_address baseado em acl, acredito que resolva.



  • Também estou com o mesmo problemas, LoadBalance funciona perfeito sem squid, com squid somente Fail-over.
    Fiz os passos para corrigir o problema de quando seta a loopback no squid (http://forum.pfsense.org/index.php/topic,45232.45.html), o squid volta a funcionar, mas sem loadbalance sem pre sai pela wan1
    Estou usando a versão 2.0.1 será que alguem conseguiu fazer funcionar a 2.0.1, uma coisa a observar é que acompanhar trafego pelos graficos e dizer que está balanceando não é correto, pois qualuer outro trafego que não seja http não vai passar pelo squid e cai no loadbalance que funciona correto.
    O que ja fiz a partir do pre suposto que o LoadBalance funciona sem squid.

    1 ) Adicionei a regra tcp_outgoing_address 127.0.0.1; no squid.
    2 ) setei ele nas duas interfaces (LAN e loopback)
    3 ) Corrigi o bug que da´quando seta o squid transparent na loopback.
    4 ) Criei a regra floating com origen any e depois com origen 127.0.0.1
    5 ) Criei as duas regras Nats WAN1 e WAN2.

    Alguma ideia mais??



  • @tpramos:

    Alguma ideia mais??

    Você já marcou as opções "Use sticky connections" e "Allow default gateway switching" no menu "System: Advanced: Miscellaneous"?



  • Sim , elas são premissas para funcionar o loadbalance sem squid.



  • Continuem os posts no outro tópico sobre o mesmo assunto:

    http://forum.pfsense.org/index.php/topic,45232.msg258538.html#msg258538


Log in to reply