Multiwan+balance+gateway dependiendo de la ip
-
tengo montado mi pfsense 2.0.1 con 2 wan y 1 lan, ya aplique el manual de balance y funciona bien, ahora necesito hacer que un rango de ip salga solamente por un gateway evitando el balance, mis reglas del firewall estan asi:
TCP/UDP Lab_media * * * CLAROGW none
TCP/UDP Lab_basica * * * CLAROGW none
TCP BLOQUEADOS * * * * none
TCP/UDP 192.168.1.4 * * * CLAROGW none- LAN net * * * Balance none Default allow LAN to any rule
He estado monitoreando el trafico y balancea bien pero aun sigue enviando los equipos de Lab_Basica y Lab_Media por el GW balance en vez de enviar todo el trafico por CLAROGW, en trafic graph veo que las ip que estan usando el enlace son justamente de Lab_Basica y Lab_Media pero salen por el GW default y solamente cuando este se satura el balance comienza a enviarlos por el otro GW, me faltara aplicar algo??,
la ip 192.168.1.4 es mi pc y segun myip.es salgo por el segundo GW siempre lo cual esta bien y deberia ser en los otros pc
-
Estimad M4estre.
Creo que lo que podria sugerir es crear un alias o un grupo de ellos de acuerdo a las necesidades que tengas. en donde cada una contenga a las direcciones o subredes que necesitas agrupar segun la interface por donde quieres que salgan a internet.
Ejemplo
GrupoA : 192.168.1.100, 101,102,150,110, ….
GrupoB : 192.168.1.200, 201, 202 .....Despues en las reglas de la interface a donde permanezcan estas ips deberas de crear una regla en donde el el source sea el Alias que creaste y los demas parametros como los puertos, etc. a los que quieras que tengan acceso.
Al final en la ultima parte de la regla encontraras una parte que dice "Gateway" , en donde deberas de escoger la puerta de enlace o grupo por el que quieras que salga ese grupo de Ips o Alias.
Espero que te sea de utilidad.
Saludos
-
eso es lo que tengo, asigno un GW dependiendo del alias pero si miro el grafico de trafico las ip que estan dentro de ese alias generan un trafico de 4 a 6 mb y la grafica del GW CLAROGW (que es por donde deberian salir) muestra unos pick de hasta 800kbps mientras que el otro GW llega a saturarse
-
Reseteaste la tabla de estados ? (Diagnostics: Reset state)
Probaste cambiando:
TCP/UDP Lab_media * * * CLAROGW none
TCP/UDP Lab_basica * * * CLAROGW nonePor:
- Lab_media * * * CLAROGW none
- Lab_basica * * * CLAROGW none
-
nada, siguen usando el GW 1, lo raro es que si lo hago por una ip la regla funciona pero no con el alias
-
¿Puedes postear, por favor, imágenes?
De:
- System - Gateway Groups
- Firewall - Aliases
- Firewall - Rules - LAN
- Status - Gateway - Groups
Supongo que no tienes squid en esta máquina…
Saludos,
Josep Pujadas-Jubany
-
adjunto imagenes, agrege el grafico de la LAN y del GW que deberia tener uso, en el grafico de lan todas las ip excepto la terminada en .140 pertenecen al alias Lab_Media el cual deberia salir por GWCLARO, mi ip 192.168.1.4 esta saliendo por GWCLARO, abro la pagina myip.es y me muestra el ISP correspondiente a Claro Chile solamente.
-
ahi estan las que faltaban
la maquina tiene dhcp y squid, el balanceo funciona con el squid, lo probe antes de aplicar las reglas que postie
 -
Supongo que cada interfase (LAN, WAN1 y WAN2) están en rangos distintos.
He migrado varios balanceadores de la 1.2.3 a la 2.0.1 y en el aprupamiento de puertas quedan con Tier 1 y Member Down.
En los agrupamientos que hacen failover tengo Tier1 Tier2 y Member Down.
Entiendo que debería funcionar como lo tienes pero tendrías que probar con Tier 1 en las dos puertas que tienes.
Otra cuestión a tener en cuenta también es la velocidad de cada enlace. Esto se resuelve en la opción Advanced - Weight de cada puerta. Por defecto es 1. Si una tiene el doble de velocidad hay que ponerle 2, etc.
Revisa esto porque no sé ver nada más.
¡Suerte!
Josep Pujadas-Jubany
-
hice lo que me dijiste bellera pero seguia igual, despues lei otro post aca mismo en donde ponias esta informacion http://forum.pfsense.org/index.php/topic,38882.0.html, la aplique en pfsense y ahora balancea correctamente y discrimina bien la ip de origen encaminando por el gateway correspondiente … gracias
-
que tal M4estre, podrias postear como quedo tu configuracion ?
por defecto el squid no hace balanceo a menos de que tu hagas la configuracion que mencionas en el post. Asi que si tus maquinas salian por el proxy lo mas seguro es que se iban por una sola interfaz , no importando en que regla estuvieran ya que el proxy tiene precedencia en el proceso de los paquetes.
ahora si despues pusiste la configuracion mencionada para que tu proxy balanceara, se me hace extraño que las reglas de paquetes que tu mencionas se esten aplicando ya que como te dije el proxy tiene precedencia… a menos de que en el proxy tengas un exception para esas ips.
ojala pudieras postear la configuracion y unas trazas de cada uno de los grupos.. aunque esto no va a servir de mucho ya que el trafico web siempre se va por el squid.
Saludos!!
