PfSense MultiWan Gateway Yönlendirme



  • Merhabalar,

    https://forum.pfsense.org/index.php/topic,57021.0.html linkli konu içerisinde geçen herşeyi hatta kendi yöntemlerimi denememe rağmen çözüm getiremediğim bir konu, bankalar  ve bazı https sitelerde farklı ip kullanıyorsunuz diye, işlem yapamıyoruz. Şöyle bir durum var ben Loadbalancing ayarlarımı bozmadan bunu sağlamak istiyorum, ben deneme yapmak için örneğin tek ip bazlı Firewall Lan Rules a girip Source ip ye kendi ipmi yazıp Gateway kısmınada ADSL2 dediğim zaman bile işlemiyor hiç bir türlü, bu konuda yardımınız fikiriniz olursa çok sevinirim.

    pfSense 2.0.3 amd634 kullanmaktayım.

    Teşekkürler,
    Sait Fırat NEMİŞ



  • Banka'ya girecek olan Kullanıcıları bir wan üzerinden internete çıkmalarını sağlasan çözüm olmaz mı ?



  • Hocam öncelikle System->Routing->Groups a gir. Yeni bir grup ekle. Misalen SSL şeklinde. Asıl kullandığın (hızı iyi olan hattı) Tier1 seç, diğer hattını Tier2 yap. Seçeneklerdende Member Down seç. Eğer loss veya pingi seçersen hattın durumuna göre wanlar arası git gel yapacatır. Mutlaka Member Down seçin.

    Daha sonra Firewall->Rules->Lan a gelin. İlk sıradaki standar kuralın altına yeni bir kural açın. Alt sıralarda olmasın. Yeni kuralınızı şu şekil ayarlayın.
    Action - Pass
    Interface - Lan
    Protocol - TCP yada TCP/UDB seçebilirsiniz.
    Source - Lan Subnet
    Destination - any
    Destination Port Range - HTTPS seçin ( Ön önemli kısım burasıdır. HTTPS seçmeni gerekiyor kesinlikle)
    Description - Size kalmış açıklamadır.

    Gateway - Buraya az önce oluşturduğunuz SSL gatewayını seçin.

    Save edin okadar. Benim sistem bu şekilde ve sorunsuz çalışmakta. TCP ile TCP/UDP nin farkı içerikler ile ilgilidir. Misalen oyunlar UDP kullanmaktadır.



  • tabi bu işlemi yaptığında failover a geçmiş oluyorsun

    8mb 2 hattın varsa  16mb olarak kullanmıyorsun

    8mb'nin biri düşünce öbürü devreye girecek şekilde ayarlıyorsun.

    yani tek hat üzerinden çıkış yapıyorsun ve tek hat üzerinden çıkış yaptığın için bankacılık işlemlerinde sorun çıkmıyor

    bunu daha önce farklı bir başlıkta anlatmıştım ama tekrar anlatayım

    bu yaptığınız load balance muhabbeti aynı anda iki hattı kullanmanızı sağlar ve sürekli ip'niz değişir

    işte sorun burda başlıyor.. siz ssl kullanan banka sitesine bağlanıyorsunuz

    login olduğunuzdaki ip'niz 78.xx.xx.xx

    sayfa içinde gezinirken ip'niz değişiyor ve 79.xx.xx.xx oluyor bankacılık sistemi ip'nin değiştiğini anlayıp sizi dışarı atıyor bunun olmasını engellemenin bir kaç yolu var hangisi size uygunsa onu kullanırsınız

    1 - bankaların hepsini alias olarak oluşturur ve bu adreslere erişim olması halinde 1 nolu gateway'i kullan dersiniz (bu şu demek sadece bu sitelere erişim olduğunda 1'nolu gateway'i kullan)
    örnek :

    yapı kredi bankasından başlayalım
    alias olarak yapikredi.com.tr yazarsanız çalışmaz önemli olan login olduğunuz sayfadır yani

    https://internetsube.yapikredi.com.tr (Bireysel)
    https://ticari.yapikredi.com.tr (Kurumsal)

    bunu eklerken aliaslara internetsube.yapikredi.com.tr diye eklerseniz sorunsuz çalışır

    2 - samet arkadaşımızın da dediği gibi bankacılık işlemlerini yapacak kişileri alias'a tanımlar ve 1 nolu gateway'i kullan dersiniz (bu şu demek her zaman 1'nolu gateway'i kullan)

    alias oluşturursunuz ve 192.168.1.10-192.168.1.20 arası kullanıcıların sürekli 1 nolu gateway'i kullanmalarını sağlarsınız

    3 - bir kural oluşturursunuz 443 portundan oluşan isteklerin hepsini gateway 1'den çıkarırsınız (bu da şu demek 443 portunu kullanarak sadece bankacılık değil herhangi bir yer de olsa 1 nolu gateway'i kullan)

    kural oluşturursunuz ve 443 portu isteklerinin tümünü gateway 1'den çıkmasınız sağlarsınız.

    bunlardan hangisi uygunsa sana onu kullanabilirsin bunların nasıl yapılacağı forumda yazmakta

    kolay gelsin iyi çalışmalar



  • @hoscakal:

    tabi bu işlemi yaptığında failover a geçmiş oluyorsun

    8mb 2 hattın varsa  16mb olarak kullanmıyorsun

    8mb'nin biri düşünce öbürü devreye girecek şekilde ayarlıyorsun.

    yani tek hat üzerinden çıkış yapıyorsun ve tek hat üzerinden çıkış yaptığın için bankacılık işlemlerinde sorun çıkmıyor

    bunu daha önce farklı bir başlıkta anlatmıştım ama tekrar anlatayım

    bu yaptığınız load balance muhabbeti aynı anda iki hattı kullanmanızı sağlar ve sürekli ip'niz değişir

    işte sorun burda başlıyor.. siz ssl kullanan banka sitesine bağlanıyorsunuz

    login olduğunuzdaki ip'niz 78.xx.xx.xx

    sayfa içinde gezinirken ip'niz değişiyor ve 79.xx.xx.xx oluyor bankacılık sistemi ip'nin değiştiğini anlayıp sizi dışarı atıyor bunun olmasını engellemenin bir kaç yolu var hangisi size uygunsa onu kullanırsınız

    1 - bankaların hepsini alias olarak oluşturur ve bu adreslere erişim olması halinde 1 nolu gateway'i kullan dersiniz (bu şu demek sadece bu sitelere erişim olduğunda 1'nolu gateway'i kullan)
    örnek :

    yapı kredi bankasından başlayalım
    alias olarak yapikredi.com.tr yazarsanız çalışmaz önemli olan login olduğunuz sayfadır yani

    https://internetsube.yapikredi.com.tr (Bireysel)
    https://ticari.yapikredi.com.tr (Kurumsal)

    bunu eklerken aliaslara internetsube.yapikredi.com.tr diye eklerseniz sorunsuz çalışır

    2 - samet arkadaşımızın da dediği gibi bankacılık işlemlerini yapacak kişileri alias'a tanımlar ve 1 nolu gateway'i kullan dersiniz (bu şu demek her zaman 1'nolu gateway'i kullan)

    alias oluşturursunuz ve 192.168.1.10-192.168.1.20 arası kullanıcıların sürekli 1 nolu gateway'i kullanmalarını sağlarsınız

    3 - bir kural oluşturursunuz 443 portundan oluşan isteklerin hepsini gateway 1'den çıkarırsınız (bu da şu demek 443 portunu kullanarak sadece bankacılık değil herhangi bir yer de olsa 1 nolu gateway'i kullan)

    kural oluşturursunuz ve 443 portu isteklerinin tümünü gateway 1'den çıkmasınız sağlarsınız.

    bunlardan hangisi uygunsa sana onu kullanabilirsin bunların nasıl yapılacağı forumda yazmakta

    kolay gelsin iyi çalışmalar

    Çok teşekkür ederim, ben sorunu şöyle çözdüm …

    Firewall - Aliasess - hosts kısmına dediğiniz gibi banka sitelerini ekledim ve daha sonra kullanıcılar için ayrı alias olusturmadım, direk bu sitelere girişte belirlemiş olduğum gatewayı kullan dedim şu anda sıkıntı gözükmemekte.

    Tekrar teşekkürler.



  • Benim belirtmiş olduğum sistemde sadece https siteler için tek wan kullanıyorsunuz. 80 portu için dual wan kullanıyorsunuz yine. Bende 16+8 mevcut. https ler 16 olanı kullanıyor ama ne fazla kulanılan hat 8 olan.



  • @Liderweb:

    Benim belirtmiş olduğum sistemde sadece https siteler için tek wan kullanıyorsunuz. 80 portu için dual wan kullanıyorsunuz yine. Bende 16+8 mevcut. https ler 16 olanı kullanıyor ama ne fazla kulanılan hat 8 olan.

    System: Gateways: Edit gateway altında Advanced bölümünde Weight diye bir seçenek var.
    Burada 16'lık hattınız için 2,
    8 lik hattınız için 1 seçerseniz,

    16 lık hattınıza diğer hattınızın 2 misli kadar trafik yönlendirirsiniz.
    Böylece daha verimli bir kullanım sağlayabilirsiniz.



  • @Liderweb:

    Benim belirtmiş olduğum sistemde sadece https siteler için tek wan kullanıyorsunuz. 80 portu için dual wan kullanıyorsunuz yine. Bende 16+8 mevcut. https ler 16 olanı kullanıyor ama ne fazla kulanılan hat 8 olan.

    evet kural dediğin gibi sadece https lerde o gateway i kulanacak

    tier1 tier2 olayına girdiğin zaman mecburen öncelik olarak tier1'i

    tier1 de sıkıntı olması halinde tier2'yi kullanacaktır.

    bu da aynı anda iki hattı kullanmıyorsun demektir. yani load balance değil bu failover oluyor.



  • Teşekkürler üstadım dediğinizi yaptım.

    hoscakal hocam kaç tane site https kullanıyor. Bu yönden baktığınızda çok fazla bir trafik dönüşümü farketmiyor. Bankacılık siteleri, yasal bahis siteleri üyelik gerektiren siteler ve bir kaç site harici https kullanan site yoktur. Bu nedenle çok fazla trafik etkilemesi olmayacaktır.



  • Benim anlamadığım nokta, HTTP Sunucularının neden bir dosya sunucusu gibi cevap vermesini beklememiz. Siz ne yaparsanız yapın HTTP protokolünü kullanarak zaten iki hattın toplam değerine ulaşma gibi bir şansınız yok.

    HTTP sunucularının birden fazla iplerden gelen isteklere dosya sunucuları gibi cevap veremeyecektir.Doğal olarak sizin toplam hat değerlerine ulaşacağınız kısım download kısmıdır.

    Ayrıca Type olarak Member Down ve diğer seçeneklere bakmamız gerekirse MemberDown seçeneğini aktif ettiğimizde ınterface'in biri down olduğu zaman otomatik olarak diğer internet hattında çıkışları sağlamasıdır. Packet Loss'ta hattın paket kaybına göre hat kullanım önceliğini belirlemek olduğu düşüncesindeyim. ?



  • @sametyilmaznet:

    Benim anlamadığım nokta, HTTP Sunucularının neden bir dosya sunucusu gibi cevap vermesini beklememiz. Siz ne yaparsanız yapın HTTP protokolünü kullanarak zaten iki hattın toplam değerine ulaşma gibi bir şansınız yok.

    HTTP sunucularının birden fazla iplerden gelen isteklere dosya sunucuları gibi cevap veremeyecektir.Doğal olarak sizin toplam hat değerlerine ulaşacağınız kısım download kısmıdır.

    Ayrıca Type olarak Member Down ve diğer seçeneklere bakmamız gerekirse MemberDown seçeneğini aktif ettiğimizde ınterface'in biri down olduğu zaman otomatik olarak diğer internet hattında çıkışları sağlamasıdır. Packet Loss'ta hattın paket kaybına göre hat kullanım önceliğini belirlemek olduğu düşüncesindeyim. ?

    Hocam http derken 80 portundan çıkan tüm trafik oluyor. Downloadlarda 80 portundan geliyor. İstesekte istemesekte 80 portunu dosya sunucu gibi düşünüyoruz. Tabiki downloadlar ssl portundan gelmiyorsa.

    T1 -  T2 şeklinde çift wan kullanırsak member down seçmek daha iyi olacaktır şayet ülke hatlarımız belli. Paket Loss seçersek bazen anlık pakat kayıpları %30 ları görüyor. Paket kaybı olduğunda IP değişecek gene https sitelerde hata alıcaz. Ping seçersek gene aynı durum mevcut olacak.



  • https olmasına gerek yok https'ye takılmayın

    ip kontrolü yapan sitenin illa ki https kullanmasına gerek yok…

    örnek vereyim..

    xxx.com sitesinin forum sitesine login oluyorsunuz.. 78.xxx.xxx.xxx ip ile

    sayfada gezinirken ip'niz yapınız gereği değişiyor ve 79.xxx.xxx.xxx oluyor ve forum sizi logout yapıyor bununla ilgili yapacak hiç bir şeyiniz yok

    loadbalance mantığı biraz garip hedefimiz aynı anda iki hattın gücünden faydalanmak ama

    sadece 1 hat üzerinden istek yapıp cevap alabiliriz. (bir nebze sayfa içeriklerinin resimlerin flashların yüklenmesini hızlandırabilir)
    web'de gezerken yani inanılmaz bir hızlanma beklemeyin bu sadece (bana göre) download'ınızı kuvvetlendirmekten başka birşey yapmaz



  • @Liderweb:

    Hocam öncelikle System->Routing->Groups a gir. Yeni bir grup ekle. Misalen SSL şeklinde. Asıl kullandığın (hızı iyi olan hattı) Tier1 seç, diğer hattını Tier2 yap. Seçeneklerdende Member Down seç. Eğer loss veya pingi seçersen hattın durumuna göre wanlar arası git gel yapacatır. Mutlaka Member Down seçin.

    Daha sonra Firewall->Rules->Lan a gelin. İlk sıradaki standar kuralın altına yeni bir kural açın. Alt sıralarda olmasın. Yeni kuralınızı şu şekil ayarlayın.
    Action - Pass
    Interface - Lan
    Protocol - TCP yada TCP/UDB seçebilirsiniz.
    Source - Lan Subnet
    Destination - any
    Destination Port Range - HTTPS seçin ( Ön önemli kısım burasıdır. HTTPS seçmeni gerekiyor kesinlikle)
    Description - Size kalmış açıklamadır.

    Gateway - Buraya az önce oluşturduğunuz SSL gatewayını seçin.

    Save edin okadar. Benim sistem bu şekilde ve sorunsuz çalışmakta. TCP ile TCP/UDP nin farkı içerikler ile ilgilidir. Misalen oyunlar UDP kullanmaktadır.

    Dediklerinizi harfiyen pfSense 2.0.3 amd64 versiyonunda uyguladım, ancak ne denediysem çalışmıyor kaldı ki kuralı en üste çıkarınca yasaklı olan https sitelerin açılmasına da izin veriyor. Bu durumda ben size genede benim bir hatam olabilir diye forum ekinde ekran görüntülerimi yolluyorum. İlginiz için teşekkür ederim.

    Fikir Şunuda belirtmek istiyorum Lan kurallarına göre çalışıyorsa bu durumda benim Source IP herhangi bir clientin ipsini verip, daha sonra gateway olarak bu modemi kullan dememle de olması gerekmiyor mu veyahut ip aliases olusturup source iplerimi oraya girip bu iplerin ben bu gatewayden cıkmasını istiyorum diye bildirmemle calışması mantıken gerekmiyor mu ?

    Teşekkür ederim.

    ![Screenshot 2014-02-21 17.27.14.png](/public/imported_attachments/1/Screenshot 2014-02-21 17.27.14.png)
    ![Screenshot 2014-02-21 17.27.14.png_thumb](/public/imported_attachments/1/Screenshot 2014-02-21 17.27.14.png_thumb)
    ![Screenshot 2014-02-21 17.28.10.png](/public/imported_attachments/1/Screenshot 2014-02-21 17.28.10.png)
    ![Screenshot 2014-02-21 17.28.10.png_thumb](/public/imported_attachments/1/Screenshot 2014-02-21 17.28.10.png_thumb)