Smistamento traffico



  • ciao a tutti ho un server pfsense con tre schede di rete (WAN-OPT1-LAN)
    LAN collegata alla rete interna
    WAN - SHDSL 2 Mb
    OPT1 - ADSL

    ho creato una regola di failover e se stacco la SHDSL il traffico viene diretto sulla ADSL e tutto funziona tranquiellamente.

    ora vorrei fare una cosa di questo tipo.
    vorrei smistare il traffico , ovvero utilizzare la WAN principale solo per navigare e usare l'adsl per scaricare la posta ad esempio, e ho fatto questa cosa :

    1. ho creato un alias con al suo interno queste porte 25, 110, 995, 143, 993
    2. ho creato una regola sulla LAN (action "pass" interface "LAN" protocol "TCP/UDP" source "Lan net" source port range from e to "il mio alias" destination "OPT1 net" destination port range from e to "il mio alias" in advanced gatway "il gateway della OPT1"

    fatto cio' , faccio delle prove ma non succede nulla il traffico anche sulle porte 143 (IMAP) rimane sulla WAN

    credo che sbaglio qualcosa qualcuno sa dirmi cosa posso fare ?

    grazie mille



  • Ciao,
    ti basta correggere la regola e cambiare la destination da "OPT1 net" a any
    Il tuo traffico in uscita è diretto verso internet e non verso la tua porta di rete OPT
    Ciao Fabio



  • ciao Fabio grazie della risposta, in realta' avevo gia' provato ma non va, cacchio non so cosa fare eppure se il failover funziona vuol dire che il firewall e' configurato giusto

    ID Proto Source Port Destination Port Gateway Queue Schedule Description

    TCP/UDP LAN net PORTE_OPT1 * * OPT1GW none

    adesso e' cosi'



  • Ciao,
    c'è ancora confusione nella regola. Il tuo obiettivo è far in modo che i pacchetti in entrata sulla LAN e DIRETTI alle porte PORTE_OPT1 di un QUALSIASI host vengano instradate sul GWOPT1
    Quindi scrivendo la regola diventa la seguente:

    Proto  Source  Port  Destination  Port  Gateway  Queue  Schedule  Description

    TCP/UDP    LAN net  *    *    PORTE_OPT1    OPT1GW    none

    Ciao Fabio



  • nulla da fare non capisco davvero, anche cosi' avevo provato e' come se non gli frega nulla della regola

    ti allego una parte di system log (firewall)
    come puoi vedere in source la porta 110,993 ecc ecc sono tutte dentro l'alias da me creato

    ho fatto anche una prova con una porta fissa senza alias ma il risultato non cambia

    ActTime                If        Source                                    Destination                                                    Proto
    blockJul 24 16:27:27 WAN 213.205.33.10:110 192.168.1.254:52279 TCP:FA
    blockJul 24 16:27:32 WAN 62.149.128.42:993 192.168.1.254:65160 TCP:PA
    blockJul 24 16:27:33 WAN 62.149.128.42:993 192.168.1.254:65164 TCP:PA
    blockJul 24 16:27:33 WAN 62.149.128.42:993 192.168.1.254:65161 TCP:PA
    blockJul 24 16:28:13 WAN 62.149.128.42:143 192.168.1.254:65159 TCP:PA
    blockJul 24 16:28:16 WAN 83.103.20.101:443 192.168.1.254:60362 TCP:PA
    blockJul 24 16:28:27 WAN 213.205.33.10:110 192.168.1.254:52279 TCP:FA



  • Scusa ma il log che hai girato indica del traffico in entrata dalla wan e diretto all'IP 192.168.1.254 e non viceversa.
    Il dubbio è che tu non abbia configurato proprio tutto perchè il log che hai girato potrebbe indicare che i tuoi pacchetti sono usciti dalla OPT1 ma ritornano sulla WAN.
    Prova a seguire questa guida http://www.pfsenseitaly.com/2012/09/multi-wan-con-pfsense-parte-1.html
    Ciao Fabio



  • a ok ma allora magari sta funzionando e non lo vedo?

    come posso verificare che l'uscita c'e' sulla opt1?



  • Nella regola puoi fleggare la voce log così vedi se ci sono dei pacchetti che passano. Verifica come hai configurato il nat outbound.
    Ciao Fabio



  • ho fleggato ma nulla

    la regola NAT oUT e' in automatico io quella non l'ho mai toccata



  • Crea due regole di nat outbound una per la OPT1 e una per la WAN

    Interface Source Source Port Destination Destination Port NAT Address NAT Port Static Port
    WAN  any * * * * *
    OPT1  any * * * * *

    Ciao



  • ma lasciando sempre in automatico?



  • nulla da fare, ho messo cmq il flag nella regola ma io opt1 in entrata o uscita non ne vedo



  • nessuna altra idea??



  • Prova a girare la routing table e vediamo cosa dice
    Ciao



  • ma hai tolto la spunta "Default Gateway" in System > Gateway > WAN?
    Fabio



  • ciao Fabio, no sinceramente non avevo tolto default gateway era ancora sulla WAN, ma come posso vedere il routing table? vorrei capire se funzione dove lo vedo?



  • Come ha detto correttamenet Fabio Vigano devi impostare la regola di outbound NAT in modo che Pfsense viene istruito su quale adsl utilizzare in base ai criteri che scegli, devi necessariamente impostare l'outbound NAT sul manuale perchè altrimenti ricadi nella regola di failover/load balancing.

    Puoi impostare questa regola in base alla porta che devi utilizzare quindi se hai un range di IP che un IP o una subnet usano lo puoi deviare su rete X e altre porte o IP destinazione su rete Y. Non è difficile ma è importante che setti l'outbound NAT sul mode manual.



  • ciao grazie mille , ma io su nat outbound avevo gia' creato due regole dove passava tutto
    ovviametne una su wan e una su opt1 , e' chiaro che e' errata la cosa

    mi puoi dire come la creeresti?

    fammi un esempio di tutti i pc della LAN 192.168.0.x quando scaricano la posta sulla porta 110 devono usare l'iterfaccia OPT1



  • non riesci a darmi nessun consiglio??? cavolo sembra cosi' banale la cosa eppure non funziona

    se hai skype ne parliamo di la ?
    grazie



  • ciao ragazzi, nessuno sa darmi un consiglio piu' dettagliato? ho cercato di fare come consigliato ma non mi funziona, almeno credo perche' in realta' non ho un log per capire se funziona o no



  • non è che ci sia da dettagliare molto altro, alla cieca è un impresa fare troubleshouting. fossi in te investirei qualche decina di euro per far fare la configurazione ad un consulente, alla fine mi sembra che ci stai su da parecchio tempo.
    ciao



  • si si tolta, non riesco davvero a capire, eppure e' una configurazione semplice

    pero' io vorrei capire questo , forse io faccio confunsione

    devo lavorare anche sul nat->outbound?



  • ciao scusate se insisto su questo argomento ma devo riuscire a sistemarlo

    ho creato una regola che penso sia ok, messo la spunta su LOG ma poi questo log da dove lo leggo? giusto per capire se il traffico va sul gw corretto

    grazie



  • Scusa la domanda ma non puoi fare un altro gruppo di gateways, che per esempio chiamiamo ADSLFO (ADSL failover, nel senso che se cade l'adsl la posta la riesci comunque a leggere con l'hdsl) metti prima l'ADSL e poi l'HDSL e nel firewall, sotto la voce LAN, imposti che quelle porte utilizzino come gateway ADSLFO?



  • ciao horace, ma non capito cosa vuoi intendere, io una regola di failover la ho gia' e se stacco l'hdsl tutto il traffico va sull'adsl, quindi questa cosa gia' funziona.

    la mia esigenza e' far andare sotto adsl tutto quello che riguarda determinate porte.. io ho fatto come se fosse un failover ma non capisco come posso fare a farlo ma sopratutto come posso monitorare che funzioni su che log devo guardare?



  • facciamo cosi' , se mi riuscite a dare una mano, facciamo una cosa semplicissima almeno capisco la procedura e poi vediamo di apliarla

    LAN - 192.168.0.X
    WAN - HDSL (GWHDSL)
    OPT1 - ADSL (GWADSL)

    voglio che il pc 192.168.0.15 quando va sul sito www.speedtest.net invece di usare la WAN per uscire utilizzi la OPT1

    basta solo fare una rules?



  • Per fare failover o load balancing hai creato dei Gruppi di Gateways dove hai messo i vari GW con le relative priorità.

    Poi avrai definito delle regole sulla porta LAN per i pacchetti in uscita (con destinazione any) che indicano quale gruppo di GW deve essere, utilizzato come gateay, invece che l' * di default.

    Se vuoi creare una regola di eccezione che, per il tal pacchetto usi sempre un certo GW, puoi indicare direttamente il gw invece che uno dei gruppi.  Attento che, ad esempio, i ping usati da speetest.it ecc… sono icmp, non tcp.... Stesso dicasi per trace route e ping....



  • @miami71it:

    facciamo cosi' , se mi riuscite a dare una mano, facciamo una cosa semplicissima almeno capisco la procedura e poi vediamo di apliarla

    LAN - 192.168.0.X
    WAN - HDSL (GWHDSL)
    OPT1 - ADSL (GWADSL)

    voglio che il pc 192.168.0.15 quando va sul sito www.speedtest.net invece di usare la WAN per uscire utilizzi la OPT1

    basta solo fare una rules?

    Per fare questo basta fare

    Un alias per il sito: Firewall->Alias->URLs e aggiungi
    Name: SPEEDTEST
    Description: quello che vuoi
    Type: URL
    URL: www.speedtest.net

    Poi fai una regola sulla lan
    Action: Pass
    Interface: Lan
    TCP/IP version: IPv4
    Protocol: TCP (o ICMP se speedtest usa quel tipo di pacchetto=
    Source: Singol host 192.168.0.15
    Destination: Single host or alias e metti SPEEDTEST
    Destination port: 80 HTTP

    Advanced Features -> Gateway
    Scegli il gateway di OPT1, quindi GWADSL

    Se vuoi farlo per tutti i siti HTTP basta che metti come Destination any invece dell'alias SPEEDTEST



  • ciao grazie della risposta, piu' o meno e' quello che avevo gia' fatto mille volte.. ma ZERO.. pero' nella tua descrizione c'e' qualcosa che non va ovvero :
    se faccio un alias con la voce URL e poi metto www.speedtest.net mi da errore mi dice che non e' corretto, devo mettere host(s)

    seconda cosa
    TCP/IP version: IPv4 (non trovo dove specificare cio' io posso mettere solo il protocollo)

    terza cosa
    Destination: Single host or alias e metti SPEEDTEST
    Destination port: 80 HTTP

    se metto destinatio single host or alias non posso anche specificare una porta… , il mio problema nasce proprio da li

    ma la mia domanda e' ma devo fare anche qualche regola di out o nat? non capisco come mai leggendo in giro sembra la cosa piu' ovvia del mondo smistare il traffico a me non funziona, mi funziona tutto tranne quello, la scelta di fare la prova con speedtest e' che sulla home page fa vedere l'ip pubblico e da li capisco se sta uscendo con WAN o OPT1



  • Scusa ma andavo a memoria sulla 2.1 che ho avuto davanti tutto il giorno.

    1. La voce SPEEDTEST la devi creare sotto la tab "IP" e non "URLS", sbagliato io
    2. C'è nella 2.1, se non ce l'hai fa lo stesso
    3. Non c'è bisogno di mettere la porta, sbagliato io

    Ho appena provato sul mio firewall e funziona perfettamente (nel mio caso ho solo un gateway quindi ho fatto la prova per bloccare la navigazione)



  • Scusate, mi permetto di evidenziare un particolare.
    Attenti a come si fanno i check! Nel senso, come fai a capire se lui instrada i pacchetti usando GWHDSL o GWADSL ?

    Se usi il traceroute, devi aseguire la seguente regola:

    1. fai una regola provvisoria basata SOLO sull'indirizzo di destinazione che instradi per il GW desiderato TUTTI i pacchetti la cui destinazione è l'IP del sito che ti interessa raggiungere
    2. riavvia il FWL o fai il reset states se hai precedentemente pingato o comunque aperto connessioni verso quell'ip, perchè se hai lo 'Sticky connections' attivo, non ti cambierà l'instradamento.
    3. fai il tuo test con trace route (io uso pingplotter freeware) per vedere che strada prende il pacchetto e verifica che sia ok
    4. cambia la stessa regola, aggiungendo la porta (ed il tipo di protocolloche dovrà essere Tcp/Udp) e, se è il caso, togli l'ip di destinazione.
      A questo punto dovrai fidarti, perchè a quel punto NON potrai più verificare la 'strada' presa dal pacchetto col trace route, visto che sono icmp.

    Cioè, se le regole sono per 'tipo di protocollo', dovrai trovare altro un modo per verificarne il funzionamento. Per esempio, una regola che instradi tutto il traffico Http usando un certo GW e il traffico posta usandone un altro, lo potrai verificare così:
    nel primo caso, apri mioip.it e vedi che Ip pubblico risulta; per la posta, guarda nel log del mailserver quale ip risulta.
    Io ho esattamente queste impostazioni, che utilizzano due diversi gruppi di gateway mantenendo quindi funzione di failover e load balancing, ma usando due diversi criteri 'preferenziali' per pacchetti http e posta diversi e complementari.



  • ciao rikben, io e' esattamente quello che voglio e dovrei fare

    ovvero

    le porte 110,25 ecc ecc tutte quelle riguardanti la posta devono transitare sulal OPT1 , tutto il resto deve transitare sulla WAN, il mio problema e' come dici tu, ovvero se faccio la regola dove vado a verificare che tutto funziona allora ho fatto questa cosa di esempio speedtest.net apputnto perche' fa vedere l'indirizzo IP e da li capisco davvero da dove passa. ma a me va sempre tutto sulla WAN con qualsiasi regola io faccio, ho fatto piu' volte questa domanda ma tutti rispondo un po' come sanno e riescono, io lo richiedo
    ma BASTANO SOLO LE RUELS sulla LAN? oppure devo fare altro? ovvero sul floating, LAN, WAN, OPT1? o NAT?



  • Confermo.  Bastano le rules sulla LAN.

    Il problema è fare bene le verifiche.  Per esempio.speedtest.net NON va bene per verificare, perchè quel sito si sceglie verso quale server fare i test ! Quindi i pacchetti usciranno verso il server che lui individua, quindi come instradi i pacchetti verso il sito 'contenitore' del test è ininfluente.

    Piuttosto, fai la regola verso www.mioip.it e guarda quale IP pubblico ti indica. Se ti indica l'ip pubblico della WAN che hai scelto come gateway, la regola funziona. Magari poi, dopo che l'hai verificata, la cambi per adattarla al caso che ti serve (porta, ecc…)



  • ok capito
    ho rifatto la regola sulla lan cosi' composta :

    • siti_adsl * * * OPT1GW none

    ho cambiato il sito nel alias siti_adsl con www.mioip.it

    ma nulla da fare esce sempre sulla WAN
    quando vado sul sito vedo l'ip statico della WAN e non della OPT1, eppure come dicevo funziona, se scollego la WAN il failover mi fa uscire sulla OPT1 e vedo il suo ip. ma con tutte e due collegate non ne vuole sapere, la WAN non e' piu' default ovviamente



  • ciao ragazzi finalmente ci sono riuscito.. ho risolto , forse per caso, praticamente sembra che il tutto fosse legato al failover e loadbalancing

    ho creato anche il failover della seconda linea cancellato tutte le regole rifatte e ora funziona tutto perfettamente…

    non so sara' stato un caso ma sembra che senza il failover su entrambe le linee non riuscisse a gestire ..

    ma..

    comunque grazie a tutti per la pazienza


Log in to reply