Интернет от двух провайдеров

Anahaym

Добрый день. pfSense-2.1.1-RELEASE-i386-20140401-1525
Есть два провайдера. Настраиваю pfsense failover по этой документации, но не получается.
Настроили шлюзы, настроил группу, указал проверку шлюза. Выдёргиваю провод от провайдера 1 - реакция по мониторингу есть, а переключения на другой шлюз нет.
Нужно ли для failover ещё писать правила из той же статьи?
Мне нужно просто переключать провайдера, когда один из них уходит в даун.
Спасибо.

werter

Нужно ли для failover ещё писать правила из той же статьи?

А как Вы представляете оно должно работать без явного указания группы интерфейсов failover в кач-ве шлюза ?
Делайте это правило самым первым.

pigbrother

@Anahaym:

Добрый день. pfSense-2.1.1-RELEASE-i386-20140401-1525
Есть два провайдера. Настраиваю pfsense failover по этой документации, но не получается.
Настроили шлюзы, настроил группу, указал проверку шлюза. Выдёргиваю провод от провайдера 1 - реакция по мониторингу есть, а переключения на другой шлюз нет.
Нужно ли для failover ещё писать правила из той же статьи?
Мне нужно просто переключать провайдера, когда один из них уходит в даун.
Спасибо.

Можно для начала просто отредактировать имеющееся правило Default allow LAN to any rule указав в  Advanced features в качестве Gateway вместо default ваш failover, созданный в System: Gateway Groups

DasTieRR

Я фейловер и не настраивал на PF 2.1, просто создал два шлюза -
кабельный провайдер дефолт, вес 1 мониторю днс ip гугла,
радиоканал вес 2, мониторит днс яндекса
установлена галка "Allow default gateway switching", всё переключает сам, когда главный канал оживает, тоже сам его включает.
В правилах указано ходить через дефолт шлюз - т.е. кто исправен, тот и дефолт.

werter

@ DasTieRR

О, спасибо! Отличнейшее замечание. Учту.

NetWiz

А как можно определить что деньги закончились на счету мобильного инета? Пинги вроде не пропадают…

Anahaym

@pigbrother:

Можно для начала просто отредактировать имеющееся правило Default allow LAN to any rule указав в  Advanced features в качестве Gateway вместо default ваш failover, созданный в System: Gateway Groups

так и сделал - сразу заработало. Спасибо!

@DasTieRR:

установлена галка "Allow default gateway switching", всё переключает сам, когда главный канал оживает, тоже сам его включает.
В правилах указано ходить через дефолт шлюз - т.е. кто исправен, тот и дефолт.

что-то не могу найти где это…

ещё вопрос появился. в филиале тоже стоит PFS. между офисом и филиалом - VPN Site-to-Site. у каждого PFS по два провайдера.
Один провайдер для интернета в 100 Мбит.
Другой провайдер для VPN в 2 Мбит.
Если я настрою failover и включу VPN интерфейс в группу - не упадёт ли VPN через свой интерфейс, когда дефолтовым будет интернет-интерфейс?

DasTieRR

System: Advanced: Miscellaneous

P.S. Я про впн не подскажу, не знаю. Сохраняйте конфиг, настраивайте, проверяйте.

pigbrother

@DasTieRR:

Я фейловер и не настраивал на PF 2.1, просто создал два шлюза -
кабельный провайдер дефолт, вес 1 мониторю днс ip гугла,
радиоканал вес 2, мониторит днс яндекса
установлена галка "Allow default gateway switching", всё переключает сам, когда главный канал оживает, тоже сам его включает.
В правилах указано ходить через дефолт шлюз - т.е. кто исправен, тот и дефолт.

@werter:

@ DasTieRR

О, спасибо! Отличнейшее замечание. Учту.

Действительно, любопытно . Но группу в System: Gateway Groups с указанием tier вы все же создали?

В
https://doc.pfsense.org/index.php/Multi-WAN_2.1

говорится только это:

Multi-WAN in pfSense 2.1 works just like Multi-WAN on 2.0.x so the basics are all identical.

The main difference is that with 2.1 you can setup Multi-WAN for IPv6.

In the default configuration on pfSense 2.1, "State Killing on Gateway Failure" is not active. Because of this, Multi-WAN may not work ideally out of the box. For example, if you want to force connections to failover from WAN1 to WAN2, you will want to enable the option. It can be found under System > Advanced on the Miscellaneous tab, under Load Balancing.

DasTieRR

Нет, больше ничего не настраивал.

P.S. Кабели выдёргивал, по 2ip.ru проверял. По такой схеме несколько офисов работают.

pigbrother

@DasTieRR:

Нет, больше ничего не настраивал.

P.S. Кабели выдёргивал, по 2ip.ru проверял. По такой схеме несколько офисов работают.

Для резервирования канала такое может и будет работать.
А если нужно использовать оба\несколько каналов одновременно? Не пропадать же "запасным" каналам, если они анлим?

NegoroX

Не пропадать же "запасным" каналам, если они анлим?
а смысл? или много интернета не бывает???  ;)

DasTieRR

@pigbrother:

@DasTieRR:

Нет, больше ничего не настраивал.

P.S. Кабели выдёргивал, по 2ip.ru проверял. По такой схеме несколько офисов работают.

Для резервирования канала такое может и будет работать.
А если нужно использовать оба\несколько каналов одновременно? Не пропадать же "запасным" каналам, если они анлим?

А я о резервировании и говорил. Но кое-что сделал и для одновременной работы - т.к. второй канал безлимитный (но медленный) я в раздел роут прописал несколько ip адресов для работы через резервный канал, т.е. некоторые люди сидят в соц сетях через запасной канал, при дефолтном основном и сквид эту систему "ест" нормально.

NetWiz

А можно в системе иметь два сквида, но с одним кэшем?

3 года использовал на своем объекте сквид, но сейчас на новой машине задумался, а нужен ли он. Ускорения особого не наблюдал никогда, а тормозит прилично(подлагивает). Фильтрация трафика говорите? Если https не умеем, то какой смысл? pfSense в L7 гораздо эффективнее. А если не блокировать, а оттормаживать, то так вообще без вариантов - сквид рядом не лежал. Коллега заблокировал социалку - странички криво грузятся, сейчас же везде понатыкано этих кнопок. Как собачьих испражнений на весеннем снегу. Если же просто тормозишь контент, то всё нормально открывается.

cvhideki

Ребята, вижу что долго никто не отвечал
но у меня проблема след. характера
запустил 2в провайдер на сервер PfSense
Хочу настроить смену провайдеров если один из них отваливается
1. Первым делом зашел в:
    System / Advanced / Miscellaneous - установил галочку в Enable default gateway switching
2. После чего в System / Routing / Gateways
3.  Создал нового провайдера поставил Monitor IP - 8.8.8.8
4. В Advanced - в поле Alert interval - 500
5. System / Routing / Gateway Groups
Gateway Priority -
название групы 1
W1andW2
WAN1 - Tier1
WAN2 - Tier1
Trigger Level - Member Down

название групы 2
W1downW2up
WAN1 - Tier1
WAN2 - Tier2
Trigger Level - Member Down

И после отключение интерфейса ничего не происходит

Подскажите что и где поправить?

werter

Доброе.
Для Failover не надо явно создавать gw group. Достаточно галки на Enable default gateway switching и указать wan + dns в Advanced-настройках.

cvhideki

Извините был очень не внимателен и забыл создать правила
Firewall / NAT / Outbound
И нового провайдера на подсеть

Miles27

Обычно достаточно этого


Miles27

А у меня интересная проблема при переключении интернета на резервный канал с резервного обратно может переключиться часов через 8 или более как выставить приоритет выше! на основной канал?

werter

2 Miles27
Доброе
На Use stickly connection галку поставить также не забудьте.

А у меня интересная проблема при переключении интернета на резервный канал с резервного обратно может переключиться часов через 8 или более как выставить приоритет выше! на основной канал?

Тогда и трафик будет распределяться неравномерно. Вам это надо? Скорее всего у вас что-то с настройками не то. Версия пф какая ?