Acesso externo com loadbalance



  • Boa noite tenho 2 links ip fixo gvt aqui. Os 2 links estão operando em pppoe.
    IP Modem1 : 192.168.25.1 fiz reserva para o pfsense para o ip 192.168.25.3
    IP Modem2 : 192.168.25.5 fiz reserva para o pfsense para o ip 192.168.25.6

    Pfsense recebe dhcp nas 2 WAN.

    Configurei o loadbalance com failover + Squid + Squidguard funcionando perfeitamente.
    Configurei nat para acesso externo pfsense e Terminal Server win2008, porém não acessou.
    Creio que seja porque não fiz DMZ no modem para o pfsense né? Então fui nos 2 modems e fiz a DMZ para o pfsense.
    Funcionou o acesso externo porém somente o com o IP FIXO da Wan1, mesmo que eu faça o nat na Wan2, e não tenho default gateway marcado nos gateways.
    Mais quando acesso o pfsense externamente me deparo com a seguinte mensagem:
    You are accessing this router by an IP address not configured locally, which may be forwarded by NAT or other means.

    If you did not setup this forwarding, you may be the target of a man-in-the-middle attack.

    Traduzindo:

    Você está acessando este roteador por um endereço IP não configurado localmente, que podem ser enviados por NAT ou outros meios. Se você não configurar este encaminhamento, você pode ser o alvo de um ataque man-in-the-middle.

    Alguma ajuda sobre este encaminhamento?

    Outra coisa, configurei os 2 gateway como tier2 e Packet loss or high latency. Está navegando somente pela Wan1(desse jeito sei que assim que a wan1 perder pacotes ou a latencia for alta irá transferir para a wan2) se desabilitar a wan1 a wan2 assume corretamente, mais gostaria que funcionasse da seguinte maneira: usuário 1 acessou vai para a wan1, usuário 2 acessou vai para a wan2, usuário 3 acessou vai para a wan1, usuario 4 acessou vai para wan2, e assim sucessivamente. Creio que será melhor distribuído.

    Alguém sabe como configuro para que possa executar dessa maneira?
    Att



  • madrugaaa,

    Vamos fazer como o meu xará (o estripador) e vamos por partes:

    1. Procure deixar o pfSense discando a conexão PPPoE. Use seus modens em modo bridge. Isso melhora muito a performance e evita problemas com roteamento de pacotes e afins;

    2. Não entendi porque você deixa estes modens na mesma rede (192.168.25.0). Se optar por não seguir o passo 1 (o que eu desaconselho profundamente), pelo menos deixe cada modem em uma rede distinta;

    3. Em relação ao erro no acesso à WebGUI, uma simples pesquisa aqui mesmo no fórum lhe responderia a questão (botão "search", logo aí em cima): http://forum.pfsense.org/index.php/topic,45365.msg238493.html#msg238493

    4. Sobre a configuração do LoadBalance, veja este post no blog da comunidade brasileira do pfSense: http://www.pfsense-br.org/blog/2011/12/loadbalance-e-failover-pfsense/

    Abraços!
    Jack



  • Amigão
    1º - tenho 1 modem que não consigo mudar o ip dle nem o modo de operação, ou seja tenho que usar o pfsense com dhcp na wan.
    2º - conforme eu disse acima n tem como alterar o ip de um, mais o q eu consigo alterar posso colocar em outra rede distinta se isso faz sentido em algo.(o q muda ?)
    3º - já tinha visto essa opção, a mesma foi marcada e o problema continua o mesmo.
    4º - eu segui a configuração desse tutorial mesmo, porém com umas adaptações para que funcionasse com o squid + squidguard, mais o mesmo só está funcionando como failover, o link só é acionado caso o link1 caia , ou perde pacotes ou sobrecarrega o trafego, eu queria que cada conexão saísse por 1 link(gostaria de utilizar os 2 ao mesmo tempo)

    Obrigado por enquanto, espero que realmente possa me ajudar.
    Att



  • @madrugaaa:

    1º - tenho 1 modem que não consigo mudar o ip dle nem o modo de operação, ou seja tenho que usar o pfsense com dhcp na wan.

    Considere fortemente a troca destes modens por dispositivos mais 'confiáveis' e 'flexíveis'. Se bem que pra você não conseguir alterar se quer o IP do Modem, provavelmente você não deve ter acesso admin à ele. Neste ponto sugiro que se você vai "criar o filho, que consiga educá-lo também!".

    2º - conforme eu disse acima n tem como alterar o ip de um, mais o q eu consigo alterar posso colocar em outra rede distinta se isso faz sentido em algo.(o q muda ?)

    É no mínimo estranho ter dois gateways funcionando na mesma rede. Podem haver falhas de roteamento de pacotes. O ideal, sem sombra de dúvidas, é manter cada gateway em redes frias diferentes.

    3º - já tinha visto essa opção, a mesma foi marcada e o problema continua o mesmo.

    Pode estar havendo problemas de roteamento de pacotes, conforme item acima.

    4º - eu segui a configuração desse tutorial mesmo, porém com umas adaptações para que funcionasse com o squid + squidguard, mais o mesmo só está funcionando como failover, o link só é acionado caso o link1 caia , ou perde pacotes ou sobrecarrega o trafego, eu queria que cada conexão saísse por 1 link(gostaria de utilizar os 2 ao mesmo tempo)

    Você deve estar usando proxy transparente, certo? Neste caso, procure aqui mesmo no fórum sobre a cláusula "tcp_outgoing_address" que você pode utilizar em "custom options" do Squid.

    Abraços!
    Jack



  • opa obrigado pelo apoio.
    1º Não tenho como trocar o modem pois o modem é o PowerBox da GVT(o unico recomendado para gvt 35mb pois usam a tecnologia VDSL), ele vem com level 2 que nao tem direitos administrativos, porém o outro que consigo mudar foi adicionado ip fixo nele, quando adiciona o ip fixo o mesmo passa para o level 4 com direitos administrativos, então poderia deixar 1 modem com seu ip de origem -> 192.168.25.1 e o outro alteraria para 192.168.26.1, daria certo né?

    2º Como disse acima alterando o ip de 1 não teria 2 gateway na mesma rede.

    3º O problema pode ser entao pelos 2 gateway na mesma rede.

    4º Errado, estou utilizando proxy autenticado, já configurei o "tcp_outgoing_address" em custom options no squid. Fiz essas configurações para configurar o loadbalance + failover + squid + squidguard.

    Att



  • @madrugaaa:

    opa obrigado pelo apoio.

    Não por isso… Estamos aqui exatamente pra este fim! ;)

    1º Não tenho como trocar o modem pois o modem é o PowerBox da GVT(o unico recomendado para gvt 35mb pois usam a tecnologia VDSL), ele vem com level 2 que nao tem direitos administrativos, porém o outro que consigo mudar foi adicionado ip fixo nele, quando adiciona o ip fixo o mesmo passa para o level 4 com direitos administrativos, então poderia deixar 1 modem com seu ip de origem -> 192.168.25.1 e o outro alteraria para 192.168.26.1, daria certo né?

    Sim, daria certo.  Muito embora, o "ideal" seria que estes modens estivessem em modo bridge (conforme já explicitado anteriormente). Mesmo trocando as redes, não significa que você resolva este problema em específico, mas já começa a organizar a cozinha!

    3º O problema pode ser entao pelos 2 gateway na mesma rede.

    Tudo depende da configuração do seu pfSense… Mas quando você digita um "route" na console do seu pfSense (parte texto do pfSense), o que aparece pra você? Concordas que ter 2 gateways numa mesma rede classe C, apontando teoricamente para o mesmo lugar (operadora), é estranho? Não é garantia que vá resolver totalmente o seu problema, mas pelo menos, estaríamos começando a organizar a cozinha!

    4º Errado, estou utilizando proxy autenticado, já configurei o "tcp_outgoing_address" em custom options no squid. Fiz essas configurações para configurar o loadbalance + failover + squid + squidguard.

    Bem… neste caso, estás usando o "tcp_outgoing_address" pode estar impedindo o loadbalance (quando os 2 links estiverem up). Como você usou esta cláusula na configuração do Squid?

    Ainda em tempo, lembre-se que o loadbalance no pfSense acontece sempre com base dos "Tiers" que você configura em cada gateway (além dos parâmetros de perda de pacotes e/ou latência). Existem vários links aqui mesmo no fórum abordando isso!

    Abraços!
    Jack


Log in to reply