Ip saindo por gateway específico
-
Bom, como o loadbalance não funciona com squid nem fedendo, (se algum souber como fazer a magica pelamordedeus conte) deixei como failover alguns pfsense que tenho duas wans.
Só que q disponibilidade dos dois links são altas, e quase nunca vai ser utilizado o failover. Pensando nisso resolvi colocar alguns usuários pra sair por um link, outros por outro, pra dar uma suspirada no principal.
Mas tentei de tudo quanto é jeito, e mesmo assim não obtive sucesso. Criei nat, nat outboun, liberei o trafego pros ips especificando o gateway e mesmo assim nada de sair por links distintos.
Alguém tem uma luz, onde eu estou errando?
Uso squid3+squidguard, vai ter algum impacto nisso?
-
Bom, como o loadbalance não funciona com squid nem fedendo
??? tcp_outgoing_address + floating rules + tcpdump ??? o que não funcionou?
-
perai marcelo rs, ta falando do loadbalance ou do lance de sair um ip (ou grupo de ips) por um determinado gtway.
no proxy ta assim tcp_outgoing_address 127.0.0.1;
a regra de floating agora ta a padrão do failolver:
Proto Source Port Destination Port Gateway
TCP 127.0.0.1 * * * loadbalancepra fazer o que eu quero, onde eu crio e quais regras?
-
pra fazer o que eu quero, onde eu crio e quais regras?
um squid, varios links, basta usar o tcp_outgoing_address + floating rules
balanceamento por usuario, grupo de ips é outra coisa. voce vai precisar de um pool de squids antes do pfsense e balancear de acordo com o ip do servidor que chegar.
-
perai q acho q eu não entendi ou não expliquei direito.
O failover ta ok, beleza, do jeito que ta ta bom, ja vi que quando cai, o outro link sobe tranquilo.
Ta tudo saindo por uma wan, o que eu quero é criar regras para que determinados ips saiam pelo segundo link, pela segunda wan que ta ociosa.
Eu tentei o seguinte:
Criei um alias com os ips que quero que saiam pela segunda wan.
Fui na lan e criei uma regra antes da regra do failover (loadbalance q não funciona) liberando o trafego pra estes ips so que definindo o gtw do segundo link, da segunda lan.
Não funcionou.Dai tentei fazer um nat na interface do 2º link e tb não funcionou, tentei no outbound e tb nada.
Uma vez vi em um post, acho que você mesmo marcelo, dando uma dica pra um rapaz de como fazer isso, mas cara ja procurei demais e não encrontrei, fiz diversas buscas e nada.
-
issiqueira,
A diferença para o load balance para o fail over é só uma opção na definição do grupo de gateway, o resto é idêntico.
Fui na lan e criei uma regra antes da regra do failover (loadbalance q não funciona) liberando o trafego pra estes ips so que definindo o gtw do segundo link, da segunda lan.
Não funcionou.Essa configuração funciona e várias pessoas aqui do fórum usam.
Dai tentei fazer um nat na interface do 2º link e tb não funcionou, tentei no outbound e tb nada.
Que configuração você esta usando no outbound nat?
-
caraca ja me perdi, mas vamos la.
ta dessa maneira, veja as print screens. verifique por favor e veja onde ta o erro ou se falta alguma coisa. Eu criei um alias "adm" com os ips que quero que saiam por um dos links.
Você disse que é só mudar o grupo de gtw que difere o load pro fail, o que muda, os tiers? ja testei e tb não funciona deixo 1-1 ou 1-2 da na mesma.
Como ja havia dito em um post com o squid não funciona o loadbalance nem com reza braba, se ativo a lan e a loopback nas interfaces no squid para tudo, deixo só a lan beleza, mas dai nada de loadbalance, mas funciona como failover.
-
amigo,
qual é o teste que vc esta fazendo para saber se o loab balance não esta funcionando e não esta direcionando saida por um link especifico ?
lembre-se que o traceroute ou tracert envia pacotes de pesquisa UDP, espera por pacotes de resposta "ICMP TIME_EXCEEDED" dos gateways
caminho e incrementado de 1 hop a cada vez, até que uma mensagem "ICMP PORT_UNREACHABLE" é retornadaSua regra esta direcionada para "TCP".
-
issiqueira,
deixe o alias adm apontando para o load balance apenas na lan
retire o load balance da regra na lan que libera acesso ao squid
no squid3, o separador de campo da custom options é o "<enter>" e não o ";"Lembre-se que todo o trafego que chega no squid passa a ser tratado como 127.0.0.1 no lugar de vários ips, o que te possibilita apenas uma regra de balanceamento.
O load balance do pfsense(tier1 para os dois links) funciona com certeza absoluta.
att,
Marcello Coutinho</enter> -
pessoal, vou fazer as alterações amanha e posto se deu certo, marcelo mais uma vez muito obrigado pela grande ajuda.
mantunespb, vou monitorar e ver o que e pra onde ta indo -
Normalmente para colocar um Grupo por determinado gateway eu faco somente uma regra no Firewall com o alias do IP ou alias do Grupo (faixa de IP) e pronto… (segue imagem em anexo)
-
A configuração é esta mesma quando não tem proxy no mesmo pfSense ou os ips em questão não precisam passar pelo proxy.
-
A configuração é esta mesma quando não tem proxy no mesmo pfSense ou os ips em questão não precisam passar pelo proxy.
Entao meu sistema é todo errado.
Eu utilizo o mesmo hardware para Firewall e Proxy… os IPs passam pelo proxy e usam regras do Firewall para ir pelo gateway indicado.
Tenho que reformular tudo?
Como faco para ter um firewall e um proxy em maquinas distintas?
qual os requisitos minimos para um firewall pfSense em uma rede com 500 PCs?
-
qual os requisitos minimos para um firewall pfSense em uma rede com 500 PCs?
Quais os requisitos mínimos? Há muito mais a se levar em consideração do que a quantidade de hosts.
Uma boa fonte de consulta:
http://www.pfsense.org/index.php?option=com_content&task=view&id=52&Itemid=49Leia e equalize conforme suas necessidades. :)
-
Obrigado johnnybe y marcelloc.
Vou tentar implementar o firewall separado do meu proxy.
Nao encontrei nenhum tutorial ou manual pra seguir, estou meio dem ideias..
-
Nao encontrei nenhum tutorial ou manual pra seguir, estou meio dem ideias..
Mesmo procedimento, firewall com duas ou mais interfaces, proxy com uma só.
Talvez algumas vms para garantir um proxy por segmento de rede para não perder o balanceamento que você já tem.
