Load Balancing mit 2.0.1



  • Hallo,
    ich wollte bei meinen Pfsense einen Loadbalancer und Failover einrichten.
    Wenn ich aber nach einer Anleitung suche, finde ich nur das ganze für die Pfsense 1.2.3 .
    In der neueren Version hat sich ja bissel was geändert.
    Wie richte ich das denn jetzt ein?
    Wenn ich z.b. auf Services->Loadbalancer gehe und da einen neuen Pool eröffne, dann kann ich keine Interfaces auswählen und auch nicht sagen das es ein Gateway ist.

    Hoffe ihr könnt mir helfen oder mir eine Anleitung für die Aktuelle Pfsense Version geben.

    Gruß Lindi



  • bei der 2.0.1 wird das unter Routing -> Groups gemacht hier kannst du die Gateways zusammenfassen.
    Also balance oder failover und musst dann noch dem entsprechen Regeln in der Firwall hinterlegen wo du dann sagst welche Regel über welches Gateway bzw Gatewaygruppe rausgeht



  • Ach da geht das.
    Ich habe jetzt eine Gruppe erstellt mit folgenden Sachen:

    Group Name: WAN1BalanceWAN2
    Gateway Priority: beide auf Tier1
    Trigger Level: Packet Loss or High Latancy
    
    

    Dann habe ich unter Firewall-> Rules -> LAN
    Regeln erstellt für z.b: das VPN nur über einen bestimmten GW raus geht und habe dann bei der Default Rule für LAN den Gateway "WAN1BalanceWAN2" eingetragen.

    Ich hoffe das ist richtig so oder?
    Ist das jetzt gleichzeitig ein Failover? Weil wenn nicht, dann müsste ich ja nochmal 2 Gruppen erstellen, nur wie gebe ich dann die Gateways in der Firewall an?

    Gruß Lindi



  • ist auch ein failover wenn er den einen nicht belegen kann macht er das auch nicht
    sieht man ja unter Status -> Gateways wenn da eins offline ist wird er es nicht belegen

    überprüfen kann man das mit http://www.wieistmeineip.de/ da müssten ja dann immer zwei im wechsel auftauchen.

    man sollte aber ausnahmen definieren für https z.B. weil es da passieren kann das wenn man die ip wechselt das die session abgeschossen wird (onlinebanking z.B.)
    da sollte man noch eine gruppe anlegen die nur failover macht.



  • Hallo,

    Alle Gateways mit dem gleichen "Tier" betreiben LoadBalancing. Fällt ein Gateway aus dieser Gruppe weg, arbeiten die letzten verbleibenden in dieser Gruppe weiter. Somit ist es im Idealfall LoadBalancing wenn beide Gateways funktionieren, fällt ein gateway aus entspricht dies automatisch einem Failover. Es ist also nicht mehr notwendifg wie bei pfsense 1.2.3 mehrere Gruppen zu definieren.

    Wie flix87 aber richtig gesagt hat, gibt es Protokolle/Anwendungen (https, IPsec), die LoadBalancing nicht so mögen.
    Entweder du schaltest jetzt "Sticky Connections" ein um das zu beheben oder aber du erstellst einen alias, in welchem du alle Ports zusammenfasst, die kein LoadBalancing können (443 (hhtps), 4500 (IPsec), 500 (IPsec))
    Dann erstellst du ebenfalls eine GatewayGruppe aber mit WAN1 Tier1 und WAN2 Tier2. Und wählst diese Gruppe dann als Gateway für die Firewallregel mit dem definierten Ports.
    Somit hast du ein Failover für diese Ports, sollte dein WAN1 down gehen. Diese regel muss aber über der Regel mit deinem WAN1balanceWAN2 stehen :-)



  • Wo schalte ich denn "Sticky Connections" ein?



  • system -> advanced -> xyz
    weiss nicht ganz genau wo dort ;)



  • Habs gefunden und auch eingestellt.
    Scheint für die HTTP Verbindungen relativ gut zu klappen, aber auf manchen Seiten wo man sich einloggen muss gibs Probleme.
    Wenn ich da mich einlogge und paar klicks auf der Seite mache, dann werde ich wieder ausgeloggt. Ohne Loadbalancing geht das aber wunderbar.
    Die Seite liegt bei all-inkl . Kann es sein das da eine Art Balancer bei denen davor geschallten ist und somit pfsense denkt es ist eine neue Verbindung?



  • Vermutlich nicht. Sticky connections habe einen timer der abläuft, wenn keine Daten mehr kommen.
    Manchmal switcht eine Seite auch zwischen http und https. Dann gibt es Probleme.

    Ich persönlich nutze Sticky Connections nicht, ich löse das Problem anders:

    Ich erstelle eine Gateway Gruppe (LoadBalance) mit Tier1 und
    ich erstelle eine Gateway Gruppe (NoLoadBalance) mit Tier 1 und Tier 2

    Dann erstelle ich einen Port-Alias. In diesen Alias packe ich alle Ports, die probleme mit LoadBalancing haben, also 443, 500, 4500, 1194, etc. pp.

    Dann erstelle ich eine Firewall Regel deren Destination Port meinen Alias beinhaltet und als Gateway meine "NoLoadBalance" Gruppe.
    Sämtlichen anderen Verkehr leite ich über die "LoadBalance" Gruppe.

    Kommen neue Anwendungen hinzu die bestimmte Ports haben, dann muss ich diese lediglich zum Alias hinzufügen.

    Wenn du es nicht alleine mit den Ports Regeln kannst, dann kannst du evtl. noch einen Alias mit Ziel-IPs anlegen und eine dritte Firewallregel erstellen, ähnlich wie die oben beschriebene Regel.

    Bei freenet.de ist mir zum Beispiel aufgefallen, dass man sich dort über die internetseite schlecht am E-Mail Postfach anmelden kann (http). Man kann dort aber wählen, dass die Anmeldung über https erfolgen soll. Dann greift meine oben beschriebene Regel und alles wird gut. Man muss also immer mal schauen, an welcher schraube man drehen muss :)



  • kann man diesen Timer irgendwie setzen?
    Es sind halt viele Seiten die da Probleme machen.
    Hauptsächlich welche mit Login und ohne https.

    Foren z.b.



  • http://forum.pfsense.org/index.php/topic,49054.msg260494.html#msg260494
    diesen und den darauf folgenden post lesen und durchführen.



  • Wie erstelle ich eine Firewallregel mit Aliases und trage es unter "Destination" ein?
    Wenn ich bei pfSense 2.0.1 unter Destination "single host or alias" auswähle und in "Adress" die Bezeichnung eintrage, die ich in "Aliases" erstellt habe, dann kommt nach dem abspeichern die Meldung:
    "The following input errors were detected: (Aliases Bezeichnung) is not a valid destination IP adress or alias."



  • @Bernd812:

    Wie erstelle ich eine Firewallregel mit Aliases und trage es unter "Destination" ein?
    Wenn ich bei pfSense 2.0.1 unter Destination "single host or alias" auswähle und in "Adress" die Bezeichnung eintrage, die ich in "Aliases" erstellt habe, dann kommt nach dem abspeichern die Meldung:
    "The following input errors were detected: (Aliases Bezeichnung) is not a valid destination IP adress or alias."

    Der Alias muss auch den korrekten Wert haben.
    Wenn du als Alias also einen Port Alias erstellst, mir poprts, dann kannst du diesen natürlich nicht in der firewall Regel als "Destination IP" eintragen, sondern nur bei Quell- oder Ziel-ports


Log in to reply