Ayuda con 3 adsl y 4 Lans



  • Hola que tal, primero que nada, estoy impresionado y facinado con pfsense, ya que es una gran herramienta para administradores de redes, anteriormente usaba pf + squid en freebsd, pero por casualidad encontre una liga y un tutorial muy interesante de pfsense, y me puse a manos a la obra. Pues primero que nada estoy aprendiendo lo basico de pfsense, en este momento estoy haciendo pruebas de configuraciones, bueno despues de tanto rollo mi objetivo con pfsense es lo siguiente:

    integrar en un solo equipo 3 diferentes enlaces de las siguientes velocidades:
                * 1 ADSL de 1024kbps downloading y 256kbps uploading
                * 1 ADSL de 2048kbps downloading y 256kbps uploading
                * 1 enlace de 4mbps downloading y 512 kbps uploading

    sacar por dichos enlaces
            * wi-fi aproximadamente 10 usuarios concurrentes
            * LAN 1 aproximadamente 20 usuarios concurrentes
            * LAN 2 aproximadamente 8 usuarios concurrentes
            * LAN 3 aproximadamente 4 usuarios concurrentes
            * LAN 4 aproximadamente 5 usuarios concurrentes

    "todo esto en hora pico"

    como veran son muchas LANS, entonces tenia pensado hacer uso de VLANS, cuento con 2 switches 3com los cuales soportan la programacion de VLANS, una de las primeras preguntas es ¿soportara una sola targeta de red 10/100 toda la carga generada por las 5 VLANS?, o sera necesario el uso de una targeta 20/200 o quizas una 10/100/1000?

    otro objetivo es, que en caso de que se caiga un enlace x, no quede sin internet algun nodo de la red, es decir que automaticamente entre en funcion otro enlace, espero y me explique bien. Tambien es necesario balancear cargas, es decir, procurar que ningun enlace se sature a menos que sea mucha la carga para los 3 enlaces diferentes. Sinceramente este es un termino nuevo para mi en lo particular, y pues no tengo ni idea de como hacer eso.

    Tambien necesito bloquear MSN, P2P, youtube y este tipo de sitios striming, ya hice eso, fue de lo mas sencillo.

    Espero alguien me pueda ayudar un poco, se lo agradecere mucho  :)



  • ¡Hola!

    como veran son muchas LANS, entonces tenia pensado hacer uso de VLANS, cuento con 2 switches 3com los cuales soportan la programacion de VLANS, una de las primeras preguntas es ¿soportara una sola targeta de red 10/100 toda la carga generada por las 5 VLANS?, o sera necesario el uso de una targeta 20/200 o quizas una 10/100/1000?

    ¡Ojo con las VLAN! No todas las tarjetas de red y switches soportan bien las VLAN. Probé VLAN y lo deseché porque mi hardware … En http://www.freebsd.org/cgi/man.cgi?query=vlan tienes la relación de tipos de tarjetas de red que soportan VLAN, "By now, the list of physical interfaces able of full VLAN processing in the hardware is limited to the following devices: bge(4), em(4), ixgb(4), nge(4), re(4), stge(4), ti(4), txp(4), and vge(4).". Haciendo clic sobre cada enlace verás a qué chipset corresponde cada tipo.

    En cuanto a la carga, depende del tráfico simultáneo que genere cada uno de tus usuarios. Tengo varias LAN mayores que las que expones con tarjetas y switches de 100 Mbit/s; creo que no deberías tener problemas. No obstante, si tienes que comprar material es mejor pensar ya en 1 Gbit/s.

    otro objetivo es, que en caso de que se caiga un enlace x, no quede sin internet algun nodo de la red, es decir que automaticamente entre en funcion otro enlace, espero y me explique bien. Tambien es necesario balancear cargas, es decir, procurar que ningun enlace se sature a menos que sea mucha la carga para los 3 enlaces diferentes.

    El balanceo también hace failover, las dos funciones que precisas …

    Tambien necesito bloquear MSN, P2P, youtube y este tipo de sitios striming, ya hice eso, fue de lo mas sencillo.

    ¿Te falta bloquear algo y no sabes cómo? No queda claro …

    Saludos,

    Josep Pujadas



  • Primero que nada muchas gracias por antender mi situacion, bueno pues con lo que me comentas sobre las vlans, pues primero que nada voy a realizarle pruebas y posteriormente ver cual opcion es mas factible, pasando a una pregunta que se me olvidaba comentarte es que caracteristicas crees convenientes para montar pfsense y que tenga un buen rendimiento para mis LANS, ya que cuento actualmente tanto para wifi como para la LAN1 un pf + squid en una maquina con un procesador de 1.3ghz con 384mb de ram con un enlace adsl de 2048kbps y en ocaciones cuanto hay muchos usuarios aproximadamente 30 o 40 usuarios, squid me bloquea muchas paginas web, a pesar que que con pf bloqueo todas las descargas p2p, messenger, y solo habilito los puertos comunes para navegacion, es por eso que surge esta pregunta de que caracteristivas se necesitaran para la realizacion de la red planteada en el mensage anterior.

    De antemano gracias, y espero no molestarte mucho con tanta pregunta



  • ¡Hola!

    No sé cómo está configurado squid en pfSense. Lo que sí sé es que un squid que tenga mucha demanda requiere una buena optimización.

    Yo tengo squid + squidguard para una red que cada día mueve 3 GByte de navegación (entre 150.000 y 200.000 objetos), pudiendo llegar a haber unos 70 usuarios simultáneos. Y lo tengo en una máquina aparte, con el kernel de FreeBSD recompilado para soportar diskd, prestación que hace que squid tenga dos procesos de disco separados, uno para servir páginas y otro para guardar contenidos en la caché. Además en lugar de tener squidguard con 5 procesos simultáneos lo tengo con 20 …

    En pfSense he puesto reglas que impiden la navegación directa y sólo pueden navegar directamente los servidores (entre ellos el propio squid). Los navegadores tienen configurado el servidor proxy (lo tengo así desde hace años), aunque esto se puede hacer que lo encuentren ellos solitos, http://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol. No recomiendo el uso del proxy en modo transparente, porque tienes más desventajas que ventajas, http://wiki.squid-cache.org/SquidFaq/InterceptionProxy.

    Como ya he dicho en varias ocasiones los paquetes de pfSense son una opción interesante, pero no me parecen una solución profesional. Para mi el cortafuegos es una cosa y el servidor proxy otra. No es bueno poner todos los huevos en la misma cesta. Además el configurador web limita en este caso las posibilidades de ajuste de la herramienta y sus añadidos. squid tiene añadidos interesantes: ya he citado squidguard, también están dansguardian, sarg, sqstat, ... http://www.freebsd.org/cgi/ports.cgi?query=squid&stype=all

    Para mi, tener una herramienta de análisis como sarg es imprescindible. Me dice qué dominios son los más visitados, qué descargas se hacen, ... Me sirve incluso para detectar problemas de configuración de los equipos. Me explico: hay programas que bajan sus propias actualizaciones. Normalmente configuramos los equipos para que no lo hagan. Pero siempre hay algún olvido. Con los informes de sarg vemos este tipo de problemas.

    Días atrás encontré una empresa que comercializa soluciones basadas en squid (con una versión básica gratuita -por supuesto, se trata de un empaquetamiento de aplicaciones de código libre-):

    http://www.safesquid.com/html/portal.php?page=126

    Parece interesante ...

    Saludos,

    Josep Pujadas



  • Hola bellera, antes que nada en lo referente a este posteo queria comentar que estoy totalmente de acuerdo con vos cuando decis que no es conveniente utilizar el squid en un pfsense que funciona como firewall, sino utilizar un servidor proxy que se encuentre ubicado "detras" del firewall.
    Me intereso mucho lo que comentaste del diskd. Donde puedo encontrar informacion sobre como implementar esta herramienta? y otra pregunta: se puede instalar el dansguardian en el pfsense? ultima pregunta: donde esta el archivo de configuracion del squid en el pfsense?

    Saludos



  • ¡Hola!

    *** OFF THE TOPIC *** Me intereso mucho lo que comentaste del diskd. Donde puedo encontrar informacion sobre como implementar esta herramienta?

    Basándome en http://ezine.daemonnews.org/200209/squid.html y otras páginas de menor importancia …

    Recompilar el kernel GENERIC de FreeBSD 6.2 añadiendo:

    ###################### Opciones para diskd de squid #######################
    
    # These three options provide support for System V Interface
    # Definition-style interprocess communication, in the form of shared
    # memory, semaphores, and message queues, respectively.
    #
    #options SYSVSHM
    #options SYSVSEM
    options SYSVMSG
    
    # System V compatible message queues
    # Please note that the values provided here are used to test kernel
    # building. The defaults in the sources provide almost the same numbers.
    # MSGSSZ must be a power of 2 between 8 and 1024.
    options MSGMNB=8192 # Max number of chars in queue
    options MSGMNI=256 # Max number of message queue identifiers
    options MSGSEG=512 # Max number of message segments
    options MSGSSZ=64 # Size of a message segment
    options MSGTQL=2048 # Max number of messages in system
    

    En http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/kernelconfig-building.html se explica cómo construir un nuevo kernel para FreeBSD 6.2. En mi caso la máquina tiene también procesador de doble núcleo. Si se desea que el kernel sea multiprocesador basta con añadir options SMP a la configuración del kernel.

    Modificar squid.conf (uso de la RAM, del disco y activación de diskd):

    maximum_object_size_in_memory 16 KB
    cache_replacement_policy heap LFUDA
    cache_dir diskd /usr/local/squid/cache 80000 128 256 Q1=64 Q2=72
    maximum_object_size 8192 KB
    

    Significado de los cambios en la gestión de la caché de squid:

    • Pasar maximum_object_size_in_memory de 8 a 16 KB.
    • Pasar maximum_object_size de 4096 a 8192 KB.
    • Pasar cache_replacement_policy de lru a heap LFUDA.
    • Pasar cache_dir de ufs a diskd.
    • Pasar cache_dir de 100 a 80000 (MegaByte).
    • Pasar cache_dir de 16 a 128 directorios.
    • Mantener cache_dir en 256 subdirectorios por directorio.
    • Poner Q1=64 i Q2=72, valores per defecto. Ver configuración de diskd en el kernel.

    ¿se puede instalar el dansguardian en el pfsense?

    Si no está en la lista de paquetes disponibles no es evidente cómo hacerlo …

    ¿donde esta el archivo de configuracion del squid en el pfsense?

    pfSense tiene los datos de configuración almacenados en ficheros xml. El principal está en /cf/conf/config.xml. Los xml de los paquetes están en /usr/local/pkg. A partir de los xml se generan los ficheros de configuración "de verdad".

    En FreeBSD las configuraciones de los paquetes en /usr/local/etc. En el caso de squid esto nos lleva a /usr/local/etc/squid/squid.conf como archivo de configuración principal. No obstante hay que tener presente que si cambiamos directamente el contenido de este archivo y después empleamos el configurador web o simplemente reiniciamos nuestro pfSense perderemos los cambios realizados.

    Los scripts de puesta en marcha, paro, reinicio, estado, etc de un daemon en FreeBSD están en /usr/local/etc/rc.d. Esto quiere decir que el script squid.sh qu encontraremos en nuestro pfSense sirve para hacer:

    /usr/local/etc/rc.d/squid.sh stop
    /usr/local/etc/rc.d/squid.sh start

    Le he dado una hojeada y no es el script que lleva el paquete estándar de squid para FreeBSD. Tiene menos opciones. En un FreeBSD completo hay comandos como restart y status que aquí no figuran. Tampoco están los parámetros que permiten indicar al sistema si antes tiene que estar arrancado otro servicio …

    Saludos,

    Josep Pujadas



  • Perfecto, lo pruebo y posteo como me fue.

    Saludos


Log in to reply