Интернет от двух провайдеров

Anahaym

Добрый день. pfSense-2.1.1-RELEASE-i386-20140401-1525
Есть два провайдера. Настраиваю pfsense failover по этой документации, но не получается.
Настроили шлюзы, настроил группу, указал проверку шлюза. Выдёргиваю провод от провайдера 1 - реакция по мониторингу есть, а переключения на другой шлюз нет.
Нужно ли для failover ещё писать правила из той же статьи?
Мне нужно просто переключать провайдера, когда один из них уходит в даун.
Спасибо.

werter

Нужно ли для failover ещё писать правила из той же статьи?

А как Вы представляете оно должно работать без явного указания группы интерфейсов failover в кач-ве шлюза ?
Делайте это правило самым первым.

pigbrother

@Anahaym:

Добрый день. pfSense-2.1.1-RELEASE-i386-20140401-1525
Есть два провайдера. Настраиваю pfsense failover по этой документации, но не получается.
Настроили шлюзы, настроил группу, указал проверку шлюза. Выдёргиваю провод от провайдера 1 - реакция по мониторингу есть, а переключения на другой шлюз нет.
Нужно ли для failover ещё писать правила из той же статьи?
Мне нужно просто переключать провайдера, когда один из них уходит в даун.
Спасибо.

Можно для начала просто отредактировать имеющееся правило Default allow LAN to any rule указав в  Advanced features в качестве Gateway вместо default ваш failover, созданный в System: Gateway Groups

DasTieRR

Я фейловер и не настраивал на PF 2.1, просто создал два шлюза -
кабельный провайдер дефолт, вес 1 мониторю днс ip гугла,
радиоканал вес 2, мониторит днс яндекса
установлена галка "Allow default gateway switching", всё переключает сам, когда главный канал оживает, тоже сам его включает.
В правилах указано ходить через дефолт шлюз - т.е. кто исправен, тот и дефолт.

werter

@ DasTieRR

О, спасибо! Отличнейшее замечание. Учту.

NetWiz

А как можно определить что деньги закончились на счету мобильного инета? Пинги вроде не пропадают…

Anahaym

@pigbrother:

Можно для начала просто отредактировать имеющееся правило Default allow LAN to any rule указав в  Advanced features в качестве Gateway вместо default ваш failover, созданный в System: Gateway Groups

так и сделал - сразу заработало. Спасибо!

@DasTieRR:

установлена галка "Allow default gateway switching", всё переключает сам, когда главный канал оживает, тоже сам его включает.
В правилах указано ходить через дефолт шлюз - т.е. кто исправен, тот и дефолт.

что-то не могу найти где это…

ещё вопрос появился. в филиале тоже стоит PFS. между офисом и филиалом - VPN Site-to-Site. у каждого PFS по два провайдера.
Один провайдер для интернета в 100 Мбит.
Другой провайдер для VPN в 2 Мбит.
Если я настрою failover и включу VPN интерфейс в группу - не упадёт ли VPN через свой интерфейс, когда дефолтовым будет интернет-интерфейс?

DasTieRR

System: Advanced: Miscellaneous

P.S. Я про впн не подскажу, не знаю. Сохраняйте конфиг, настраивайте, проверяйте.

pigbrother

@DasTieRR:

Я фейловер и не настраивал на PF 2.1, просто создал два шлюза -
кабельный провайдер дефолт, вес 1 мониторю днс ip гугла,
радиоканал вес 2, мониторит днс яндекса
установлена галка "Allow default gateway switching", всё переключает сам, когда главный канал оживает, тоже сам его включает.
В правилах указано ходить через дефолт шлюз - т.е. кто исправен, тот и дефолт.

@werter:

@ DasTieRR

О, спасибо! Отличнейшее замечание. Учту.

Действительно, любопытно . Но группу в System: Gateway Groups с указанием tier вы все же создали?

В
https://doc.pfsense.org/index.php/Multi-WAN_2.1

говорится только это:

Multi-WAN in pfSense 2.1 works just like Multi-WAN on 2.0.x so the basics are all identical.

The main difference is that with 2.1 you can setup Multi-WAN for IPv6.

In the default configuration on pfSense 2.1, "State Killing on Gateway Failure" is not active. Because of this, Multi-WAN may not work ideally out of the box. For example, if you want to force connections to failover from WAN1 to WAN2, you will want to enable the option. It can be found under System > Advanced on the Miscellaneous tab, under Load Balancing.

DasTieRR

Нет, больше ничего не настраивал.

P.S. Кабели выдёргивал, по 2ip.ru проверял. По такой схеме несколько офисов работают.

pigbrother

@DasTieRR:

Нет, больше ничего не настраивал.

P.S. Кабели выдёргивал, по 2ip.ru проверял. По такой схеме несколько офисов работают.

Для резервирования канала такое может и будет работать.
А если нужно использовать оба\несколько каналов одновременно? Не пропадать же "запасным" каналам, если они анлим?

NegoroX

Не пропадать же "запасным" каналам, если они анлим?
а смысл? или много интернета не бывает???  ;)

DasTieRR

@pigbrother:

@DasTieRR:

Нет, больше ничего не настраивал.

P.S. Кабели выдёргивал, по 2ip.ru проверял. По такой схеме несколько офисов работают.

Для резервирования канала такое может и будет работать.
А если нужно использовать оба\несколько каналов одновременно? Не пропадать же "запасным" каналам, если они анлим?

А я о резервировании и говорил. Но кое-что сделал и для одновременной работы - т.к. второй канал безлимитный (но медленный) я в раздел роут прописал несколько ip адресов для работы через резервный канал, т.е. некоторые люди сидят в соц сетях через запасной канал, при дефолтном основном и сквид эту систему "ест" нормально.

NetWiz

А можно в системе иметь два сквида, но с одним кэшем?

3 года использовал на своем объекте сквид, но сейчас на новой машине задумался, а нужен ли он. Ускорения особого не наблюдал никогда, а тормозит прилично(подлагивает). Фильтрация трафика говорите? Если https не умеем, то какой смысл? pfSense в L7 гораздо эффективнее. А если не блокировать, а оттормаживать, то так вообще без вариантов - сквид рядом не лежал. Коллега заблокировал социалку - странички криво грузятся, сейчас же везде понатыкано этих кнопок. Как собачьих испражнений на весеннем снегу. Если же просто тормозишь контент, то всё нормально открывается.

cvhideki

Ребята, вижу что долго никто не отвечал
но у меня проблема след. характера
запустил 2в провайдер на сервер PfSense
Хочу настроить смену провайдеров если один из них отваливается
1. Первым делом зашел в:
    System / Advanced / Miscellaneous - установил галочку в Enable default gateway switching
2. После чего в System / Routing / Gateways
3.  Создал нового провайдера поставил Monitor IP - 8.8.8.8
4. В Advanced - в поле Alert interval - 500
5. System / Routing / Gateway Groups
Gateway Priority -
название групы 1
W1andW2
WAN1 - Tier1
WAN2 - Tier1
Trigger Level - Member Down

название групы 2
W1downW2up
WAN1 - Tier1
WAN2 - Tier2
Trigger Level - Member Down

И после отключение интерфейса ничего не происходит

Подскажите что и где поправить?

werter

Доброе.
Для Failover не надо явно создавать gw group. Достаточно галки на Enable default gateway switching и указать wan + dns в Advanced-настройках.

cvhideki

Извините был очень не внимателен и забыл создать правила
Firewall / NAT / Outbound
И нового провайдера на подсеть

Miles27

Обычно достаточно этого


Miles27

А у меня интересная проблема при переключении интернета на резервный канал с резервного обратно может переключиться часов через 8 или более как выставить приоритет выше! на основной канал?

werter

2 Miles27
Доброе
На Use stickly connection галку поставить также не забудьте.

А у меня интересная проблема при переключении интернета на резервный канал с резервного обратно может переключиться часов через 8 или более как выставить приоритет выше! на основной канал?

Тогда и трафик будет распределяться неравномерно. Вам это надо? Скорее всего у вас что-то с настройками не то. Версия пф какая ?

Miles27

@werter:

2 Miles27
Доброе
На Use stickly connection галку поставить также не забудьте.

А у меня интересная проблема при переключении интернета на резервный канал с резервного обратно может переключиться часов через 8 или более как выставить приоритет выше! на основной канал?

Тогда и трафик будет распределяться неравномерно. Вам это надо? Скорее всего у вас что-то с настройками не то. Версия пф какая ?

Version 2.3.3-RELEASE (i386)
Мне распределение нагрузки ненужно мне нужен резерв если падает основной канал.
Все каналы по wi-fi и в  основном бывают провалы запасной всего 2,5 мегабита

pigbrother

Мне распределение нагрузки ненужно мне нужен резерв если падает основной канал.

А в правиле на LAN в Advanced группа Rezerv выбрана как шлюз?

werter

Доброе.
Триггер выберите верно в группе. И мониторьте не шлюз провайдера, а те же днс гугла - 8.8.8.8, 8.8.4.4

P.s. В кач-ве запасн. канала хороша связка asus rt-n15u + shibby tomatousb + юсб-свисток от хуавей + смарт безлимитище (если вы из России)

Miles27

@werter:

Доброе.
Триггер выберите верно в группе. И мониторьте не шлюз провайдера, а те же днс гугла - 8.8.8.8, 8.8.4.4

P.s. В кач-ве запасн. канала хороша связка asus rt-n15u + shibby tomatousb + юсб-свисток от хуавей + смарт безлимитище (если вы из России)

В данном случае мониторить внешку нет смысла т.к провайдер падает 1 раз в 2 года, а вот вафелька начнёт хандрить или обесточивание дома , гроза выжигает порт или наговскую грозозащиту это чаще.

Это хорошо но кто свисток оплачивать будет ?  ;)

Проблема решилась заменой Trigger Level потеря пакаетов на Trigger Level высокая задержка и в правилах выбрал пинг выше 15 секунд

werter

Доброе.

и в правилах выбрал пинг выше 15 секунд

Это там же в настройках ?

Miles27

@werter:

Доброе.

и в правилах выбрал пинг выше 15 секунд

Это там же в настройках ?

System / Routing / Gateways / Edit

Miles27

Новая проблема при переключении на резервный канал Pfsense так и остаётся на нём работать и не хочет сам переключаться на основной канал

werter

Доброе.
Скрин правил fw на LAN и floating rules (если есть) покажите.

Miles27

Вот

pigbrother

Одному мне кажется, что правила над тем, что с группой Rezerv странные\неверные?

Miles27

В них лимитеры настроены это вас не должно смущать и на момент тестов они были отключены.

dvv06

проверить по какому каналу ходит компьютер можно командой tracert 8.8.4.4 например. Попробуйте может у вас такая же как у меня проблема
У  меня вот ситуация, что переключает канал судя по трасерту, а сайты так и не грузит - явная проблема с "непереключением днс" от упавшего провайдера и полностбю игнорятся внешние днс.

Miles27

@dvv06:

проверить по какому каналу ходит компьютер можно командой tracert 8.8.4.4 например. Попробуйте может у вас такая же как у меня проблема
У  меня вот ситуация, что переключает канал судя по трасерту, а сайты так и не грузит - явная проблема с "непереключением днс" от упавшего провайдера и полностбю игнорятся внешние днс.

От этой проблемы я ещё в самом начале избавился. У меня PF не возвращается сам на основной канал когда тот восстанавливается ему для этого нужно много времени, либо вручную фильтр перегружать

Miles27

Заглохла тема

Miles27

Как все таки заставить делать reload_status автоматически если основной канал начал работать?