Problema general con Bancos - Balanceo - Redireccionamiento (Venezuela)



  • Saludos… Estoy urgido de ayuda.. Tengo 3 wan y 1 lan en mi pfsense. 2wan a balancear y la otra wan restante la tengo para redireccionar ciertos puertos como de bancos, aplicaciones de agencias de loterias (azar), juegos online, Https. todo marcha bien hasta ahora, todo abre bien cuando se conecta simultaneamente el 70% de los usuarios. La red esta creciendo rapidamente y la wan a donde tengo redireccionando puertos especificos se me esta colapsando. Aveces se anda demasiado lento al pasar el 75% de conexiones simultaneas de los usuarios. dispongo de 2 balanceadores externos con 3 adsl de 6mb cada una. y un adsl de 6mb en la wan de redireccion. Trate con balanceo de las 3wan, failover, sticky connections. Y todo marcha muy mal. con failover todo es lento, con balanceo no abre las aplicaciones de azar ni bancos. con sticky lento y no abre ciertas paginas. coloque todo normal como antes. 2 wan a balancear y y wan a redireccionar pero esta vez. coloque otro balanceador tplink en la otra wan de redireccion con 2 adsl. todo marcha bien a excepcion de las paginas bancarias. Que puedo hacer para seguir conectando usuarios y que no se les ponga lento en https, juegos online, en fin, todo lo redireccionado a la wan3. hay alguna forma de redireccionar https excluyendo facebook, twitter? Es lo que se me ocurre pero no se si se puede y como hacerlo.  Yo se que parece un trabalenguas pero es la unica forma que consegui de explicar.. xD Agradeceria mucho de su ayuda.. utilizo Pfsense 2.1-RELEASE (i386) FreeBSD 8.3-RELEASE-p11.



  • sticky connections -> Mi experiencia no es buena con eso. Recomiendo reglas con salida por failover (tier1, tier2, tier3…) y no por balanceo saliente (tier1, tier1, tier1...)

    En cuanto a ajuste de reglas por destino de compañías, en Documentación - Filtrar por IPs de destino se explica cómo se pueden identificar los destinos.



  • Saludos Sr bellera. Usted como siempre tan atento. Es decir. Elimino las reglas en la LAN de redireccionamiento y coloco las 3 WAN a failover? Yo coloque failover solo con 2WAN y me trabajaba muy lento el acceso a internet en todas las paginas webs. No hw intentado failover con las 3WAN que dispone mi servidor. En realidad lo que me preocupa es mas que todo el funcionamiento de todo lo que tengo redireccionando en la wan3 ya que con eso mas que todo es para trabajo de empresas que tengo como clientes. Y también porque pronto si Dios permite se integraran a la red unos 500 usuarios mas de una comunidad entonces necesito mucha estabilidad de la red en todo momento. Le agradesco su ayuda Sr Bellera.



  • No. Yo no haría eso…

    Hay que "jugar", combinando los enlaces según necesidades.

    Ejemplo:

    > TCP LAN net * bancos 80,443 Wan1Wan2Wan3 none - - Failover
    > TCP LAN net * dropbox 80.443 Wan2Wan3Wan1 none - - Failover
    > TCP LAN net * facebook 80,443 Wan3Wan1Wan2 none - - Failover
    > TCP LAN net * google 80,443 Wan1Wan2Wan3 none - - Failover
    > * LAN net * * Balanceo none - - Reparto dejando pasar lo que interese
    

    donde bancos, dropbox, facebook, google son alias de IPs.

    WanXWanYWanZ son failover, combinando el orden en que entran las WAN.

    Balanceo es un agrupamiento de puertas (balanceo saliente) para repartir automáticament el resto de cosas. Ojo, combiene tener claro que se deja hacer hacia afuera. Según el servicio que se quiera dar.



  • Sr bellera. sera que si le doy acceso remoto por teamviewer usted me puede ayudar a la configuracion optima de mi servidor? me encuentro en venezuela. Disculpe el abuso. Yo soy un novato. Apenas manejo lo mas basico de Pfsense o tambien serviria si me explica como en inicios de la escuela. con peras y manzanas.. jeje XD y de verdad disculpe. creo que realize lo que me dijo. a lo mejor lo hice mal. pero se me coloca muy lento el acceso a internet en la red. actualmente me funciona bien. la cuestion es cuando siga incluyendo mas usuarios en la red lo que hoy en dia tengo configurado no me serviria para brindar un buen servicio. Mil Gracias.



  • Lamento no poder ayudar más allá de lo que permite este foro.

    En la sección Documentación (arriba) tienes explicado cómo funciona el agrupamiento de puertas (balanceo, failover salientes) y también tienes puesto cómo averiguar los rangos de IPs de las compañías para poder hacer alias de IPs.

    Y, por supuesto, también hay tutoriales básicos. Algunos son de versiones antiguas de pfSense, pero sirven la mayoría de cosas.

    Me he permitido añadir al título de este hilo (Venezuela). Hay bastantes miembros venezolanos en este foro. Por horarios, proximidad… seguramente alguno pueda ayudarte sobre el terreno.



  • Muchísimas gracias Sr bellera. Desde ya me pongo a leer la documentación para implementar lo que me aconsejo.



  • Saludos Sr bellera… Lo que me recomendo me funciona de maravilla con los alias de IPs..... Intento hacerlo con alias de puertos... creo el alias... agrego los puertos.. al momento de aplicar la regla no me lo permite.. me indica que el alias no es valido.. Solo se como redireccionar puertos de forma individual o por rango pero no por alias. :( como debo aplicar la configuracion? muy agradecido.





  • Rebel Alliance

    Estas poniendo el Alias de Puertos en lugar donde Va la IP…. Si lo pones en "Destination port range" no te debería dar error ;)



  • @ptt:

    Estas poniendo el Alias de Puertos en lugar donde Va la IP…. Si lo pones en "Destination port range" no te debería dar error ;)

    … Jejeje.. epale... tienes toda la razon.... es que como las casillas son pequeñas no pense en que se podrian colocar nombres... pense que solo se colocaban los numeros de puertos en From: y To: y no un alias.. Gracias  Amigo


  • Rebel Alliance

    Ja ja… "pasa en las mejores familias" (decimos por aquí cuando nos equivocamos) :P

    Por eso siempre insisto, hasta el cansancio, en que es buena idea adjuntar capturas de pantalla... ya que aunque No venia siguiendo el hilo, al instante me percaté del error....

    Saludos desde Argentina ;)



  • yo poseo 2 conexiones una Frame relay de 2M y una metro de 8 te comento que la velocidad de conexion es muy buena mi esquema es :

    pfsense+squid+dansguardian y algunas reglas de firewall para bloquear redes sociales.. ahora lo que hago es por la interfaz wan de 8M saco lo que es http y por al Frame relay de 2M saco https y te aseguro que la conexion es estable y rapida…umm tambien tienes que jugar con las posiciones de las reglas en el firewall.



  • Saludos mi estimado maracaiber0, cuentame has resuelto parte de lo que planteabas por aca?? Soy de barquisimeto estamos a la orden por alli en cualquier situacion …



  • @juancho:

    yo poseo 2 conexiones una Frame relay de 2M y una metro de 8 te comento que la velocidad de conexion es muy buena mi esquema es :

    pfsense+squid+dansguardian y algunas reglas de firewall para bloquear redes sociales.. ahora lo que hago es por la interfaz wan de 8M saco lo que es http y por al Frame relay de 2M saco https y te aseguro que la conexion es estable y rapida…umm tambien tienes que jugar con las posiciones de las reglas en el firewall.

    Iba a contratar el servicio metro pero es muy costoso… no me da la base para la mensualidad que se cobra.. y tienes razon.. asi se trabaja bastante bien.. yo trabajaba asi con 2wan en el servidor. con una tercera se me complico la cosa.. ahora tengo problemas con el ABA.. me trabaja muy mal.. El cache del pfsense si trabaja bien?



  • @amnarl:

    Saludos mi estimado maracaiber0, cuentame has resuelto parte de lo que planteabas por aca?? Soy de barquisimeto estamos a la orden por alli en cualquier situacion …

    Epa hermano.. si ya resolvi. como decia ptt.. Redireccione por alias de ips a wan3.. (Juegos online, paginas de bancos, y otras) mientras todo el http y https restante esta balanceando con el pfsense. Ahora deseo redireccionar facebook a wan3 pero alli tengo una ip publica directa la cual es la que me deja acceder via remota a mi servidor.. soy algo novato aun y si pego otro balanceador no sabria como hacer para seguir accediendo remotamente.. Que tal trabaja el cache Pfsense? Que tal te trabaja el ABA en Brqmto? Por lo menos en la zona donde habito esta grave.. por ellos quisiera ayudar un poco con menos uso del internet al activarle el cache al pfsense. que me dices?



  • Ojo cuando haces balance de https, me ha pasado que se me cierran las conexiones debido a que en un momento muestra una ip y en otro una ip diferente.. por eso las conexiones https siempre les doy salida por una wan y las http si las balanceo..con respecto al aba. te comento que tengo unos pfsense y muestran latencias hasta de 10mil contra eso nadie puede.. creo que ya es cuestion de cantv que resuelva eso..ahora cuando tengo abas con conexiones de 4M en adelante.. es mas decente el asunto



  • Saludos, es correcto lo mejor es tener un plan minimo de 4 mb para trabajar con cantv. Otra cosa importante a tomar en cuenta en cuanto al uso de conexiones de cantv es que el hilo adsl local no puede estar ubicado a mas de 2 km de la centralita de donde recibe conexion la linea ya que esta distancia afecta el rendimiento. Y bueno te comento que el cache me trabaja super bien pero lo hago en otro server fuera de pfsense. Cualquier cosa estamos a la orden



  • Que tal estoy medio parado con el.uso del cache en.otro pfsesn. Ya que no.logro navegar. Me puedes dar luces de.como hiciste?  gracias



  • Buenas tardes a todos, tiempo que no pasaba por aqui,

    maracaiber0 creo que debes comentarnos exactamente que haces con tu red, es una red empresarial o tienes una especie de ISP y revedes acceso a internet ( Por cierto tengo varios años trabajando con PFsense tambien soy de Venezuela). Porque te pregunto eso pues bueno depende del enfoque de tu red encaminas tu configuracion tienes muchos enlaces balanceadores y periquitos y creo que conectando todos tus enlaces al PFsense los puedes gestionar. adicional a esto trabajas con ABA de cantv algo que es poco confiable, inestable, no es simetrico etc. etc. Como ya te comentaron las capturas de pantalla ayudan mucho a visualizar posibles errores y el detallar bien que haces con el equipo, su funcion y el tipo de red ayuda a dar  la mejor ayuda.

    En principio como ya te comentaron no es bueno pasar por balancedor las conexiones HTTPS porque pueden perderse, aunque con balanceador de pfsense creo haberlo hecho sin que esto pase porque mantiene la conexion .

    Bueno espero tus comentarios para ayudarte mejor.

    Saludos



  • Saludos Hermano… En verdad no habia entrado al post de nuevo ya que habia medio resuelto pero deseo mejorar. tengo Varias DSL ABA de 10MB pero llegan 7MB por DSL. Uso para redistribuir el internet. Tengo mi red asi...>>

    >>>WAN1 Balanceador Tplink 470+ con 4 DSL >> 
    9DSL > WAN2 Balanceador Tplink 470+ con 4 DSL > Pfsense > Balanceo de WAN 1 y WAN 2, Redirecciono varias Ips a WAN3 (Bancos) >>Salida a Switch Tplink 16 ptos > APs
            >>> WAN3 Una DSL Directa al Pfsense              >>

    Quiero implementar un server para cache. ya lo tengo pero no esta en funcionamiento al igual que un switch manejable cisco Sg200-18. El switch lo compre para hacer Vlan, eliminar los balanceadores y balancear directo con el pfsense...

    Que me sugieres Hermano.?? Gracias de antemano..



  • hola,  yo tengo el mismo problema con diferentes webs y servicios  (de bancos,  webs de facturación, de gobierno etc)  entiendo de sus comentarios hay que identificar una a una las webs que presentan el problema y sacarlas del balanceo,  asi es o ay alguna manera de configurar el pfsense para solucionar automaticamente ??



  • @redes

    El hilo data del año 2013/2014

    https://forum.pfsense.org/index.php?topic=23265.0

    Como lo recomienda el Sr. Bellera, revisa el "apartado Documentación" (aquí en la seccion en español)

    https://forum.pfsense.org/index.php?topic=23409.0

    Tienes por ejemplo: en "Balanceo"

    Forzar salida a bancos (https) por una de las WANs –> https://forum.pfsense.org/index.php?topic=80192.msg437456#msg437456



  • Saludos mi estimado, reaparaciendo por estos lares… Vi el ultimo mensaje que me habias dejado en cuanto a ese tema de veras no te recomiendo hacer cache de contenidos a estas alturas del partido no vale la pena la inversion que debes hacer para supuestamente tenerlo funcionando bien por ya luego vienen otros temas de seguridad y demas adicionales que te daran solo dolor de cabeza.... Para mejor rendimiento mas ancho de banda y reglas claras y efectivas en tu red de servicio te daran un servicio bastante optimo