Pfsense + squid + lan's internas

yakko

Bom dia pessoal, estou testando o pfsense para usar aqui na empresa, meu cenário:

3 wan
6 lan

o meu cenário não é necessário fazer loadbalance, eu gostaria de fazer o seguinte:

• cliente x sair pela WAN 1;
• rede A sair pela WAN 2;
• rede B sair pela WAN 3.

já testei algumas soluções mas não obtive sucesso, uma delas é forçar a saida pelo nat outbound, mas como disse sem sucesso.

Alguém ai já passou por este cenário? pode me ajudar?
Esqueci, estou usando pfsense e squid 3.1.20 pkg 2.0.6
abs.

marcelloc

yakko, bem vindo ao fórum! :)

Com o pacote atual do squid, você pode tentar fazendo acls na mão e colocando no custom options, para definir um outgoing address para cada faixa de rede.
ou subir um daemon para cada lan.

att,
Marcello Coutinho

yakko

Marcelo, obrigado.

então eu já tentei com as acl's tb…

acl ips_link1 src 192.168.1.0/24
tcp_outgoing_address ip_gw1_firewall ips_link1
http_access allow ips_link1

porém eu testei esta acl juntamente com rotas, também tentei por regras de firewall na LAN.

quando vc diz "subir um daemon para cada lan" seria o que??

abs. e mais uma vez obrigado.

kelsen

esse "ip_gw1_firewall" é o ip do roteador ou da interface wan do firewall? deve ser o ip da WAN caso esteja errado.
Se a máquina estiver conectando em alguma outra porta que não passe pelo proxy, você deve usar regras de firewall pra direcionar pro gateway certo.
Subir um daemon diferente quer dizer configurar um squid pra cada lan.
Como você está testando se esta saindo por um link ou não?
Veja que como testar através do tcpdump e também na interface gráfica através do Diagnostics -> States.

yakko

esse "ip_gw1_firewall" é o ip do roteador ou da interface wan do firewall? deve ser o ip da WAN caso esteja errado.
              ip_gw1_firewall -> ip do firewall (que esta conectado ao modem)

Se a máquina estiver conectando em alguma outra porta que não passe pelo proxy, você deve usar regras de firewall pra direcionar pro gateway certo.
              a máquina não esta acessando nenhuma outra porta, estou apenas com as regras basicas

Subir um daemon diferente quer dizer configurar um squid pra cada lan.
              vc pode me informar algum link, tutorial de como faria para subir um serviço para cada lan??

Como você está testando se esta saindo por um link ou não?
              tracert, navegadores (ie, ff, chrome), interface gui do pfsense

Veja que como testar através do tcpdump e também na interface gráfica através do Diagnostics -> States.
              diagnostics -> states tudo ok; tcpdump ainda não usei….

kelsen

Cara, não tem nenhum segredo, isso que eu te falei deveria funcionar.
As 3 WAN estão fazendo NAT?