Load Balance OU Failover COM direcionamento de rede



  • Caros,

    estou novamente por aqui, com uma pequena dúvida: é possível fazer load balance ou failover mas direcionando uma dada rede para um dado link, sem perder o balanceamento ou a contigência?
    Cenário:

    .3 links de internet (A=20Mbps; B=4Mbps; C=2Mbps)
    .4 redes (VLANS)

    duas redes (VLAN 3 e VLAN 4) têm que sair pelo link C,
    rede da VLAN 1 sai pelo link B,
    rede da VLAN 2 sai pelo link A e
    5 hosts da VLAN 2 têm que sair pelo link B

    Ou, se não puder ser usando Load Balance ou Failover, qual a outra melhor forma, desde que, quando um link cai, a rede continua navegando por um outro?

    Obrigado!



  • basta criar um grupo de roteamento para cada situação. Onde você quiser o failover, fail over, onde quiser load balance, load balance.

    Você ainda pode configurar tiers para usar um link apenas se o(s) outros estiverem fora.

    divirta-se em system-> routing (não esqueça de fazer o backup antes de começar  ;))



  • @marcelloc:

    basta criar um grupo de roteamento para cada situação. Onde você quiser o failover, fail over, onde quiser load balance, load balance.

    Você ainda pode configurar tiers para usar um link apenas se o(s) outros estiverem fora.

    divirta-se em system-> routing (não esqueça de fazer o backup antes de começar  ;))

    Como não pensei nisto antes?! É exatamente isto, havia lido algo em algum lugar, quando pensava em montar o box.
    Mas, como eu faria para aquele último caso, dos 5 hosts saírem por um link x mesmo estando na rede em que o link y é prioridade?

    marcelloc, obrigado novamente!



  • @darkknight:

    Mas, como eu faria para aquele último caso, dos 5 hosts saírem por um link x mesmo estando na rede em que o link y é prioridade?

    Uma configuração de gateway não depende da outra, apenas monte os grupos conforme a necessidade de cada caso.



  • Criei os grupos conforme suas orientações, marcelloc.

    Segue evidência da regra, aplicada para os IP's/host's específicos, criada na interface da rede onde estes hosts pertencem.
    Só vou conseguir testar as configurações amanhã, fora do expediente.

    A ordem está certa?
    Obrigado!




  • marcelloc,

    funcionou o direcionamento usando grupos mas, ao instalar e configurar o Squid, duas redes (em VLANs) que deveriam sair por seu gateway principal, saiu pelo default gateway.

    O Squid fez os bloqueios normalmente, mas estas redes deveriam sair pelo default gateway somente em caso de failover.
    O que pode ser?

    Obrigado!



  • O squid esta na própria maquina. Regras de wan e lan nao afetam sua navegação.

    Voce consegue balancear o tráfego usando acls e tcp_outgoing_address no campo custom options.

    Para balancear o tráfego do squid voce precisará de regras na aba floating.



  • Primeiramente, muito obrigado por responder!

    Bom, eu cheguei a fazer desta forma, segui um procedimento em PDF que trata Failover com Squid (http://forum.pfsense.org/index.php?topic=37083.0).
    Mas, ao fazê-lo, acabei ficando sem navegação em nenhuma rede, retornando quando eu tirava a regra do Floating.

    Acredito que a regra conflitava com as outras de cada interface (failover):

    Links
    WAN - DHCP
    OPT1 - estático
    OPT2 - DHCP (default gateway)

    Redes
    OPT3 - VLAN 1 - regra para sair a partir do grupo A/Failover
    OPT4 - VLAN 2 - regra para sair a partir do grupo B/Failover
    OPT5 - VLAN 3 - regra para sair a partir do grupo C/Failover
    OPT6 - VLAN 4 - regra para sair a partir do grupo C/Failover

    Provisóriamente, segui um tutorial que o johnnybe disponibilizou em seu site, referente a bloqueios do Facebook, adaptei à nossa necessidade, funcionou perfeitamente, mas precisarei utilizar o Squid (ou outro proxy) para este cenário.
    Trabalho num colégio, precisamos além de controlar, mas saber o que o aluno (principalmente) acessa e fazer os devidos bloqueios (blogs, redes sociais, pornografia, entre outros).
    Aqui no colégio temos essas VLANs para podermos separar o que é Administrativo, Pedagógico e Laboratórios de Informática, porém não utilizamos o MS Active Directory ou outro recurso de autenticação. As redes se falam, não precisamos bloquear a comunicação entre elas, até porque temos serviços rodando em pelo menos duas redes distintas e que precisam estar a disponibilidade para outras.
    Quanto à autenticação, vou pesquisar sobre como funciona com o pfSense+Squid. Por isso, no momento, eu preciso bloquear alguns acessos para as redes dos Laboratórios (VLAN 3 e VLAN 4).
    Todas as VLANS possuem configuração de failover, de acordo com a prioridade do gateway dedicado a elas. Está assim porque X departamento consome menos banda do que Y departamento.
    Mas, da forma como configurei o Squid (selecionando as interfaces OPT5 e OPT6), ele fez os bloqueios, permitiu o acesso de alguns hosts que eu liberei, mas quando eu acessei o www.meuip.com.br, percebi que ele estava saindo pelo default gateway, não pelo seu gateway prioritário do grupo de failover.
    Não tenho rede na interface LAN, exceto as próprias VLAN's, por isso eu selecionei estas interfaces na configuração de proxy. Está certo? Pois a maioria dos tutoriais que eu li tratam da interface LAN e loopback.
    Se eu fizer via Floating, não vai interferir na maneira em como as outras VLAN's saem para a internet? Terei que remover/refazer a regra de failover delas?

    Caros, só aproveitando o momento mas se for o caso eu abro um novo tópico, como eu faço para configurar IP estático na configuração do DHCP Server, pois o mesmo me fala que para isto, o IP tem que estar fora do range já definido?

    marcelloc e caros colegas, desculpe me a dimensão do conteúdo e fugir do assunto no final.
    O pfSense pode parecer complexo para quem não tem muita familiaridade com Linux/Firewall, mas não deixa de ser uma excelente ferramenta. Estou gostando cada vez mais e cada vez mais me familiarizando com o box. Por isso faço questão de tentar expor as minhas situações para que outros que se deparam com as mesmas situações, mesmo que simples para os que têm pleno domínio, possam ser úteis.
    Hoje o pfSense assumiu a gerencia da minha rede. Sucesso!

    Obrigado mais uma vez!
    Anderson…



  • Caros,

    quanto à questão do DHCP, achei o porquê aqui:

    http://doc.pfsense.org/index.php/Why_can't_I_have_static_mappings_inside_my_DHCP_range%3F

    Pendente situação do Squid+Failover acima ;D

    Obrigado, abraços!



  • @darkknight:

    Pendente situação do Squid+Failover acima ;D

    Você vai precisar saber um pouco mais de squid para resolver isso.

    através de acls voce pode criar faixas de ips e atribuir um tcp_outgoing address para eles(nunca fiz isso mas já li sobre.)

    O problema é que o squid não vai saber mudar o ip de saída caso o link fique fora do ar sem a ajuda de um script que altere o ip de saída de acordo com a situação.  :(

    Outra solução seria virtualizar alguns pfsenses(um proxy para cada vlan) e direcionar o trafego através de regras de firewall/nat e depois  balancear de acordo com sua regras.

    Complexo porém possível.

    att,
    Marcello Coutinho



  • … ou, segundo o que eu passei lendo esta manhã, instalar uma segunda solução só para o Squid, apontando para o box.
    Funcionaria assim, sem perder a configuração de Failover? Ou então, mudar o gateway padrão para o principal do routing group destas redes.

    Pois o proxy a princípio é para estas duas redes, porém as demais também usarão proxy, de acordo com a "demanda".
    Bom, penso em virtualizar, pelo menos só para estas duas redes. Vamos ver como ficará.

    Obrigado por responder, novamente!



  • marcelloc,

    no momento estou com uma outra prioridade, pretendo tratá-la com a ajuda de vocês e, neste caso, pode trancar este tópico.
    Vou virtualizar o Squid em um outro equipamento e qualquer coisa recorro ao fórum.

    Obrigado!
    Anderson…


Locked