Probleme de Multiwan
-
Bonjour,
Tout d'abord merci d'avance du temps que vous prendrez à lire ce post et merci à toute la communauté.
J'étais sur le produit IPcop et j'ai souhaité changé pour PFSense afin de pouvoir utiliser le multiwan.
Voici ma config :- Serveur : P4 2.4Ghz - 2G Ram - 3 cartes réseaux - PFSense 2.0.1
- Lien ADSL : 2 liens 1Mbps sur 2 box SFR
- Client : P4 2Ghz - 1G Ram - Windows XP
Le schéma est le suivant :
Box SFR 1 _________________[–-------]
192.168.1.1 192.168.1.3[ ]
[ PFSENSE ] _____________________ [CLIENT XP]
Box SFR 2 ________________[ ] 10.xxx.174.1 10.xxx.174.24
192.168.11.1 192.168.11.3[–-------]Pour la config j'ai joint plusieurs fichiers PNG..
Mais pour résumer j'ai bien créé mes deux passerelles, j'ai bien décoché l'option "default gateway" dans chacune d'elles.
j'ai bien créé une passerelle "group" sur ces deux (tous deux en tiers 1)Dans system/advance/miscelleanous, j'ai décoché "allow default gateway switching"
Et mes règles de firewall sont bien appliquée sur la passerelle globale "group".
–-------------------------
Mon problème est le suivant :
- Le web fonctionne quand les deux passerelles sont opérationnelle.
- Le web fonctionne si je simule une panne sur la sfr box 2
- Le web ne fonctionne plus si je simule une panne sur la sfr box 1 (pourtant la sfr box 2 fonctionne correctement si je branche un pc directement dessus)
- Le web fonctionne si je simule une panne sur la sfr box 1 et que je coche "default gateway" sur la passerelle 2
Apparemment, par defaut, la passerelle est sur la SFR Box 1 alors que l'option est décochée.
De plus, quand les deux liens sont branchés et que l'on regarde l'activité réseau, il s'avère que seul le premier lien va sur le net et non le deuxième...Pouvez-vous m'aiguiller?
Merci d'avance...
-
j'utilise aussi ce type configuration sans problèmes…
Il faut que tu définisse une passerelle prioritaire, dont dans le groupe de passerelles, tu mets des priorités différentes.
De plus, dans le trigger level, j'ai choisi plutot packet loss au lieu de high latency ... -
Merci Mister-Magoo pour ta réponse!
J'ai testé ce matin…
Passage de la Gateway 1 (WAN1GW) en défault dans System/Routing/Gateway
Puis passage en Packet Loss de la passerelle commune : WANGroup
Mise en place de WAN1GW - Gateway SFR box 1 en Tiers 1
Mise en place de WAN2GW - Gateway SFR box 2 en Tiers 2j'ai bien le net mais sur un seul lien quand je sature.
Si je simule une panne, (coupure de la rj11 sur la box 1) l'Internet ne passe pas sur le deuxième lien...Pourrais-tu éventuellement me montrer des screenshots?
Peut-être ai-je oublié quelquechose :/
Merci d'avance. -
Je n'utilise pas de route par défaut.
J'ai créé 2 groupes, 1 avec WAN1 en tier1 et WAN2 en tier2, puis un second groupe avec l'inverse.
Dans les règles, pour chaque type de trafic que je souhaite gérer, je définis une passerelle en prenant l'un ou l'autre des groupes (par exemple, le SMTP sort en priorité par le WAN1 et en cas de problème par le WAN2, alors que le http est l'inverse).Du coup, si je coupe un des accés (par exemple WAN2), le trafic http va passer par le WAN1 après une dizaine de seconde d'attente.
Au retour de WAN2, le trafic reprends normalement.Je mettrai des screenshots dès que je pourrais …
-
Pour ma part je n'ai que trois type de traffic que je gère par le parefeu :
- HTTP
- HTTPS
- MSN
Je vais donc doubler les règles et les adapter pour avoir d'un coté le trafic HTTP et de l'autre le reste.
Je vais essayer de faire comme toi.
Je reposte dès que j'ai fini mes tests.Encore merci.
-
Alors, je viens de tester.
Pour résumer :
Création de deux passerelles group :- Wan1FailoverWan2 avec WAN1GW en Tier 1 et WAN2GW en Tier 2
- Wan2FailoverWan1 avec WAN1GW en Tier 2 et WAN2GW en Tier 1
Ensuite création des règles dans cet ordre :
- 80 (HTTP) passerelle : Wan1FailoverWan2
- 443 (HTTPS) passerelle : Wan2FailoverWan1
- 1863 (MSN) passerelle : Wan2FailoverWan1
- 80 (HTTP) passerelle : Wan2FailoverWan1
- 443 (HTTPS) passerelle : Wan1FailoverWan2
- 1863 (MSN) passerelle : Wan1FailoverWan2
Ensuite, quand je teste, oui en effet ça fonctionne (un grand merci à toi).
Mais… des fois ça ne fonctionne plus et j'ai maintenant j'ai un nouveau problème...
On dirait que j'ai des problème avec les gateway quand elles passent d'offline à online et le contraire...En effet, de temps en temps, quand je simule une panne sur une des box, la panne est détectée, mais quand je rebranche, le statut de ma connexion reste en offline...
D'où cette nouvelle série de questions :
1- Dans System/Routing/Gateways/ comment as-tu choisi ton adresse IP de monitoring? Perso j'ai pris une des adresses de DNS...
2- Toujours dans System/Routing/Gateways/ as-tu coché "Disable Gateway Monitoring" et as-tu renseigné les champs d' "Advanced"?
3- Dans System/Routing/Groups/ qu'as-tu pris pour le "Trigger Level"?
4- Dans System/Advanced/Miscellaneous as-tu coché "Use sticky connections", "Allow default gateway switching" ou "Gateway Monitoring"Boudiou, ça en fait des questions!
Merci d'avance! -
Tu n'as pas besoin de doubler les règles…
Dans le cas que tu indique, lors d'une connexion HTTP, tu utiliseras toujours la première règle.
Le firewall ne vas pas tester si le lien fonctionne ou pas, tu as une règle qui indique que le HTTP DOIT passer par le groupe Wan1FailoverWan2, le trafic sera envoyé sur ce groupe. Si les liens ne fonctionnent pas, tu seras bloqué mais tu n'ira pas chercher les règles suivantes.
De plus, elles sont sans intérêt …
Le seul intérêt d'avoir un groupe inversé par rapport au premier est pour diriger, par défaut, certains flux sur un lien plutôt qu'un autre.
Par exemple, chez moi, le trafic VPN sortant passe par défaut par un lien ADSL alors que le trafic HTTP passe par défaut par un lien radio.
En cas de défaillance d'un des lien, ça bascule automatiquement sur l'autre. Mes règles sont de ce type:- HTTP -> Wan1failWan2
- VPN -> Wan2failWan1
(c'est pour reprendre ton exemple ;))
Pour les autres questions, je te dirai ce que j'ai mis ... plus tard, je suis pas sur site là ... -
Ah ok…
Oui en effet, je viens de comprendre.J'attends la suite de tes infos avec impatience...
-
1- Dans System/Routing/Gateways/ comment as-tu choisi ton adresse IP de monitoring? Perso j'ai pris une des adresses de DNS…
Oui, j'ai mis les DNS de Free, à savoir 212.27.53.252 pour le lien ADSL et 212.27.53.253 pour le lien radio.
En fait, sur une freebox en mode bridge, tu peux laisser par défaut puisque tu pingue le DSLAM. Donc, si tu liaison est coupée (box éteinte, cable arraché dans la rue, réveil soudain de dinosaures…), tu n'as plus accès au DSLAM et ta liaison est vue coupée. Cependant, si la coupure est plus loin sur le réseau, ça te donnera rien. C'est pour cela que je pingue les DNS.
Pour une liaison avec un routeur NAT au milieu (freebox en routeur ou autres *box), le ping par défaut sera la box. Si la liaison est coupée mais que la box est allumée, tu sauras jamais que ta liaison est HS.
En résumé, oui,utiliser une adresse de monitoring qui soit les DNS de ton fournisseurs ou ceux de Google par exemple, est une bonne chose...2- Toujours dans System/Routing/Gateways/ as-tu coché "Disable Gateway Monitoring" et as-tu renseigné les champs d' "Advanced"?
Non, tu ne coche pas "disable gateway monitoring", sinon ta liaison sera toujours vue active et tu ne basculera jamais…
Dans "Advanced", j'ai laissé par défaut et j'ai juste ajouté "Down" à 10 secondes et "Frequency probe" à 3 pour un ping de test toutes les 3 secondes...3- Dans System/Routing/Groups/ qu'as-tu pris pour le "Trigger Level"?
J'ai mis "Packet loss"
4- Dans System/Advanced/Miscellaneous as-tu coché "Use sticky connections", "Allow default gateway switching" ou "Gateway Monitoring"
Non, j'ai rien activé à cet endroit …
-
Bon j'ai suivi tes conseil au poil de c** de dinosaure près!
Apparemment tout fonctionne correctement.
Je vais pousser les tests plus loin cet aprem.Sinon encore deux questions…
1 - As-tu déjà essayé de répartir la charge HTTP:80 sur tes deux liens en même temps en mettant un nouveau groupe dont les deux "Tiers" ont la même valeur?
2 - Pour les logs, as-tu monté un serveur syslog? En effet, je voudrais garder environ 6 mois d'historique mais dans pfSense les journaux sont moins bien détaillés que sur IpCop... -
2 - Pour les logs, as-tu monté un serveur syslog? En effet, je voudrais garder environ 6 mois d'historique
http://fr.splunk.com/ . J'ai testé Graylog2 hélas pas stable.
-
Je suis sur un disque dur de 16 Go, ça devrait suffire ;D ;D
-
Bon, ma plateforme à l'air de fonctionner.
Encore merci!!
