Duvida com "Failover" - PF2.0.3 - Duas WAN - Reset socket
-
Olá a todos!
Sou novo por aqui e no PFSense. Era usuário do BFW, mas depois que descobri o PF, estou migrando, não quero mais saber de outro!
Estou com dúvida quanto ao funcionamento do Failover:
- Em caso de falha na WAN principal, o PF detecta e, corretamente, redireciona o tráfego para o segundo link, fazendo o inverso quando o link principal volta a funcionar.
Porém, isso somente ocorre para novas conexões, abertas após a troca da rota pelas WAN's. Se eu estiver fazendo um download, ou mesmo pingando algum ip externo, essa conexão não é redirecionada e acaba por time out, a não ser que o link principal volte antes.
Minha dúvida: O funcionamento do failover no PF é este mesmo? Ou será que tenho algum problema de configuração?
Meu PF é zerado, sem add-ons e minha configuração é a seguinte:
System–>Miscelaneus-->Marquei "Load Balancing Allow default gateway switching"
System–>Routing-->Groups--> "FAILOVER" - (Novo grupo - Tier1,Tier2) e opção "Member Down"
Firewall–>Rules-->LAN--> Modifiquei regra padrão em "Advanced Features"–>Gateway--> Novo grupo "FAILOVER" (criado em "System–>Routing")[]'s
Renato -
Renato,
A questão é de tcp-ip e não de funcionalidade do pfsense ou failover. Se você visualizar o socket como ip de origem do link A -> ip do site, vai entender que uma alteração de ip vai quebrar a comunicação e uma nova precisa ser estabelecida entre o ip de origem do link B e o ip do site acessado.
att,
Marcello Coutinho -
Renato,
A questão é de tcp-ip e não de funcionalidade do pfsense ou failover. Se você visualizar o socket como ip de origem do link A -> ip do site, vai entender que uma alteração de ip vai quebrar a comunicação e uma nova precisa ser estabelecida entre o ip de origem do link B e o ip do site acessado.
att,
Marcello CoutinhoEntendi, era isso mesmo que eu imaginava, obrigado pela resposta.
O que acontece é que tenho um serviço rodando em uma porta específica e que está sendo prejudicado pelo time out no caso do failover entrar em ação. qual seria a solução para este caso?
Pensei em deixar um script rodando no PF, monitorando a troca da WAN. Mas como resetar apenas a conexão ativa em uma porta específica sem dar um flush em toda a tabela do ipfw? Se fosse com iptables eu faria um state –state ESTABLISHED,RELATED -j REJECT nessa porta, mas estou bem perdido no ipfw!
Ou teria alguma outra solução menos bizarra que não estou enxergando?
[]'s
Renato -
O que acontece é que tenho um serviço rodando em uma porta específica e que está sendo prejudicado pelo time out no caso do failover entrar em ação. qual seria a solução para este caso?
Pensei em deixar um script rodando no PF, monitorando a troca da WAN. Mas como resetar apenas a conexão ativa em uma porta específica sem dar um flush em toda a tabela do ipfw? Se fosse com iptables eu faria um state –state ESTABLISHED,RELATED -j REJECT nessa porta, mas estou bem perdido no ipfw!
Renato, se quiser escrever um script para matar conexões estabelecidas, basta pesquisar nos tutoriais.
Especificamente este aqui:
Resetando estados de conexão via console
/sbin/pfctl -s state lista todos os estados de conexão
/sbin/pfctl -k x.x.x.x
/sbin/pfctl -k 0.0.0.0/0 -k x.x.x.x mata as conexões para um ip -
Eu tinha procurado, sem encontrar… Era exatamente isso que eu precisava, muito agradecido!
[]'s
Renato
