Sobre os problemas com Squid no PFSense 2.1.x



  • Olá galera!

    Tenho postado pouco aqui, estou envolvido em vários projetos aqui dentro da empresa, entre eles a implantação do OTRS.

    No tempo livre tenho desenvolvido um software de acesso remoto que usa o protocolo VNC, logo postarei aqui um Link para o projeto, acredito que seja de interesse de muita gente uma opção ao Team Viewer, Ammy Admin e etc. E sim, o código será aberto.

    Bom, voltando para o PFSense, desde o lançamento da versão 2.1 eu tenho enfrentado problemas, a ponto de decidir manter todos os clientes com a versão 2.0.1.

    Deixo aqui links para dois tópicos que tratam dos problemas que mencionei:
    https://forum.pfsense.org/index.php?topic=76186.0
    https://forum.pfsense.org/index.php?topic=68118.0

    Eu pesquisei no Fórum em Inglês, o que mais encontrei foram pessoas negando o problema a principio, depois uma enxurrada confirmando o problema, mas ninguém parece querer pelo menos admitir o problema.

    Vocês que possuem contato com o "Core Team", porque dessa postura descompromissada? Isso está disponivel apenas para quem paga?

    Sinceramente, se continuar assim, vou ter que trocar de solução. Tenho 31 clientes para atender, até agora o PFSense foi excelente, mas se as novas versões continuarem com problema, serei obrigado a "Atualizar" para outras distribuições.



  • Luiz, quando você usa o squid, a console fo pfsense alerta sobre parâmetros de kernel perto do limite?

    Estou com squid3-dev em produção(sem openvpn) integrado com captive portal e ad (sem samba ou kerberos) tudo transparente e a performance é melhor que qualquer squid com helpers ntlm ou kerberos.

    O Gilmarcabral teve problemas com squid3 - dev+ openvpn por conta do ipv6 mas acho que ele já conseguiu resolver comentando as rotas ipv6.

    Concordo que os pacotes não são prioridade para o core team e em algumas vezes vejo que tratam os pacotes como algo que tira a estabilidade da ferramenta.  Se está acompanhando o forum internacional,  vai ver que o clima está tenso entre a comunidade e os desenvolvedores.

    Apesar de saber que você tem conhecimento suficiente para configurar um pfsense me diga como posso te ajudar com o squid3 - dev ja que a versão 2 é pacote "stable" e "mantida" pelo core team.

    Hoje uso o pfsense 2.1.2 para rodar o squid3 - dev.



  • LFCavalcanti comecei a configurar um novo servidor com o pfsense 2.1.2 amd64.
    Este pfsense irá ter os serviços openvpn, squid3-dev, squidguard, traffic shapper, captive portal, loadbalance, snort.
    Por enquanto em testes de lab esta tudo normal mas estou apanhando do filtro do squidguard para consultar usuarios e grupos em base openldap.



  • Fala Macelloc!

    Vamos lá…

    @marcelloc:

    Luiz, quando você usa o squid, a console fo pfsense alerta sobre parâmetros de kernel perto do limite?

    Estou com squid3-dev em produção(sem openvpn) integrado com captive portal e ad (sem samba ou kerberos) tudo transparente e a performance é melhor que qualquer squid com helpers ntlm ou kerberos.

    O Gilmarcabral teve problemas com squid3 - dev+ openvpn por conta do ipv6 mas acho que ele já conseguiu resolver comentando as rotas ipv6.

    Como te disse, a questão de desempenho, pelo que eu testei foi resolvida com a versão 2.1.1, estou testando agora com a 2.1.2, mas como foi um update apenas para resolver o problema com SSL, não deve ter afetado.

    @marcelloc:

    Concordo que os pacotes não são prioridade para o core team e em algumas vezes vejo que tratam os pacotes como algo que tira a estabilidade da ferramenta.  Se está acompanhando o forum internacional,  vai ver que o clima está tenso entre a comunidade e os desenvolvedores.

    A palavra tensão é modesta, do jeito que a coisa anda, teremos mais uma Cannonical. Depois que a empresa por trás do PFSense mudou de mãos e de local, parece que o comportamento deles com relação a comunidade mudou muito.
    Quantas vezes vi o Jimp negar algo que estava ali descrito e provado no tópico. Ou ainda esbravejar em debates sobre funções, defendendo a lógica de funcionamento de algo, simplesmente porque eles querem assim. Isso tem me desanimado sinceramente.

    Minha sensação é que caminhamos para o lançamento de uma versão comercial do PFSense, pois vejo muita gente que paga o suporte conseguindo resolver esse Bugs que todos postam. Então se foi resolvido porque não divulgar em algum momento para o resto da comunidade?

    @marcelloc:

    Apesar de saber que você tem conhecimento suficiente para configurar um pfsense me diga como posso te ajudar com o squid3 - dev ja que a versão 2 é pacote "stable" e "mantida" pelo core team.

    Hoje uso o pfsense 2.1.2 para rodar o squid3 - dev.

    Estou usando exatamente essa versão de PFSense e Squid, só que o Squid não consegue "usar" o Grupo de Gateways, então balanceamento de carga entre os ISP não funciona, no máximo Fail Over.



  • @gilmarcabral:

    LFCavalcanti comecei a configurar um novo servidor com o pfsense 2.1.2 amd64.
    Este pfsense irá ter os serviços openvpn, squid3-dev, squidguard, traffic shapper, captive portal, loadbalance, snort.
    Por enquanto em testes de lab esta tudo normal mas estou apanhando do filtro do squidguard para consultar usuarios e grupos em base openldap.

    Olá!

    Aquela solução com NTLM e Samba não funciona no 2.1.2?



  • @LFCavalcanti:

    Aquela solução com NTLM e Samba não funciona no 2.1.2?

    Funciona sim.



  • Estou usando exatamente essa versão de PFSense e Squid, só que o Squid não consegue "usar" o Grupo de Gateways, então balanceamento de carga entre os ISP não funciona, no máximo Fail Over.

    Sobre esta questão, acima utilizo a versão do squid3-dev tanto com loadbalance como Failover.
    Um ambiente em produção utilizando o squid3-dev com pfsense 2.1.2 balanceando carga entre os 2 links adsl.
    Outro ambiente ambiente ainda em laboratório com squid3-dev com pfsense 2.1.2 em modo failover.

    Pelo que entendi você esta tendo problemas com este tipo de ambiente?



  • Olá!

    Desculpem a demora.

    Então gilmarcabral, como você conseguiu configurar o Fail-Over mais Load Balance COM Squid? Quais versões de pacotes, com ou sem regras de flutuação? Interface Groups?



  • Luiz em ambos os casos utilizei o pfsense 2.1.3 com squid3-dev e squidGuard-squid3.

    Para utilizar o pfsense 2.1.3 com o squid3-dev (proxy autenticado em openldap) e squidGuard-squid3 em modo Failover fiz o seguinte:
    1 - Criei o Grupo de Gateway.
    Link1 PrincipalTiear = 1
    Link2 Reserva Tiear = 2

    2 - Firewall: NAT: Outbound
    Manual Outbound NAT rule generation        (AON - Advanced Outbound NAT)
    Criei 2 regras any para source nas 2 interfaces que estão os links em Outbound.

    3 - System: Advanced: Miscellaneous
    Use sticky connections
    Allow default gateway switching

    4 - Proxy server: General settings
    Integrations
    tcp_outgoing_address 127.0.0.1 (antes da regra do squidguard)

    Para utilizar o pfsense 2.1.3 com o squid3-dev (proxy transparente e squidGuard-squid3 em modo load balance fiz o seguinte:
    1 - Criei o Grupo de Gateway.
    Link1 Principal Tiear = 2
    Link2 Reserva Tiear = 2

    2 - Firewall: NAT: Outbound
    Manual Outbound NAT rule generation        (AON - Advanced Outbound NAT)
    Criei 2 regras any para source nas 2 interfaces que estão os links em Outbound.

    3 - System: Advanced: Miscellaneous
    Use sticky connections
    Allow default gateway switching

    4 - Proxy server: General settings
    Integrations
    tcp_outgoing_address 127.0.0.1 (antes da regra do squidguard)

    5  Firewall: Rules
    Defini o Gateway das regras o Roteador Load Balance que foi criado indicando os Tiar = 2.

    Espero ter ajudado.
    Duvida posta ai.



  • Boa Tarde.
    Grande gilmarcabral , no final da sua explicação do LoadBalance, vc pede para setar a interface para a gateway do loadbalance. Porem gostaria de sabe se devo somente setar na interface de Lan ou as interfaces de  Wan Tambem?

    Grato,

    w.a.



  • Desculpe não entendi o seu questionamento.