Load-balancing avec 2 WAN dont 1 qui n'est jamais sollicité
-
Bonjour à tous,
Voici le formulaire, ci-dessous.
Contexte :
Professionnel, niveau moyen, solution en place depuis 1 an. Il s'agit de la version 2.1-RELEASE (amd64) sur une FreeBSD 8.3-RELEASE-p11.Besoin :
Il s'agit de faire du load-balancing et fail-over entre deux Freebox (proposant le même débit) pour servir un réseau LAN en Internet.WAN (modem/routeur/box) :
2 routeurs Freebox (voir IP ci-dessus).LAN :
Un LAN sans VLAN ou autre. Les DNS sont celles de Free et le DHCP est fourni par pfSense.DMZ :
N/AWIFI :
N/AAutres interfaces :
N/ARègles NAT :
N/ARègles Firewall :
Une seule règle concernant tout le trafic émis depuis LAN pour qu'il passe par le groupe "Loadbalancing" regroupant les deux Freebox.Packages ajoutés :
N/AAutres fonctions assignées au pfSense :
N/AQuestion :
Malgré avoir suivi scrupuleusement le tutoriel présent sur ce site pour mettre en place le load-balancing et le fail-over, il n'y a qu'une seule des deux Freebox qui se récupère tout le trafic Internet.Recherches :
La Freebox n°1 ne transmet absolument rien, si ce n'est le PING du pfSense vers l'adresse IP "monitor".Si je créé une règle pour forcer le trafic HTTP vers cette Freebox (qui est celle par défaut dans pfSense), je vois les requêtes et cela se passe tout à fait correctement. Mais je n'arrive pas à obliger pfSense à équilibrer la charge sur les deux Freebox !
Logs et tests :
Voir section précédente.Merci pour votre aide ;)
-
salut salut
Merci d'avoir suivi le formulaire
Pouvez vous nous mettre vos règles de paramétrage de votre loadbalancing s il vous plait, je suis a peu prêts sur que il va y manquer quelques chose ou un ordre incorrect.
Cordialement.
-
Bonjour,
Votre post fait état d'un manque indéniable de connaissance des différents protocoles mis en oeuvre ^^
@StickyForm:Règles Firewall :
Une seule règle concernant tout le trafic émis depuis LAN pour qu'il passe par le groupe "Loadbalancing" regroupant les deux Freebox.Je vous invite à lire M. CALECA : https://forum.pfsense.org/index.php?topic=69908.0
Lors de la création d'un pool de load-balancing, chaque wan DOIT avoir comme priorité : TIERS 1
Tous les protocoles ne permettent pas '' l'équilibrage " de charge :o
Vous devez donc avoir des pool configurer en fail-over pour ''orienter'' les autres trafics ;)
Donc plusieurs règles avec comme gateway le pool qui conviens :)
Cordialement
-
Bonjour à vous deux et merci pour vos réponses.
J'avoue mon manque de connaissances ;) D'ailleurs, je n'ai fait que suivre les différents tutoriels qui indiquaient tous ne mettre qu'une seule règle, en fait. Je vous mets les copies d'écrans du paramétrage et de la seule règle du Firewall ci-dessous.
J'avais survolé le site web qui est dans le post dont vous avez donné le lien. Je vais le relire plus attentivement.
Si j'ai bien compris votre explication, si je prends le protocole HTTP et le FTP, par exemple. Je dois créer une règle en pour le HTTP qui utilise le WAN1 (avec fail-over sur WAN2 en cas de besoin grâce au "Groups") et l'inverse pour le FTP. Ceci répartirait la charge HTTP sur une box et FTP sur l'autre. Est-ce que j'ai compris le principe ? :-[
-
Et le reste des PJ :)
-
Presque ^^
Vous avez compris la logique :)
Je corrige votre exemple : HTTP et FTP peuvent être configurer pour du load-balancing mais pas HTTPS
EDIT : pour tester si le LB fonctionne, allez sur un site comme monip.org par exemple et actualiser plusieurs fois la page, vous verez alors l'ip retourner par le site changer plus ou moins aléatoirement entre vos 2 IP Wan
EDIT 2 : les tuto … ou comment se persuader d'avoir la recette miracle ^^
Les tuto donne un ''cadre'' et aide à la compréhension mais il FAUT les adapter à ses propres besoin !
Cela me rappelle une très vieille pub de Pirreli : Sans maitrise la puissance n'est rien ! -
Ca y est, j'ai compris pour les protocoles :)
Concernant le test avec "monip.org", seule l'IP de la box n°2 est affichée, jamais la première. Je précise que j'ai testé avec et sans l'option "Use sticky connections" dans "System" > "Advanced" > "Misc". J'ai activé cette option car certains sites HTTP requièrent de ne pas changer d'IP pour rester authentifié, notamment sur un forum, par exemple.
PS : Je cherche une liste des protocoles qui ne supportent pas le load-balancing.
-
En désactivant "Use sticky connections", la répartition semble se faire beaucoup mieux. Les deux box sont désormais sollicitées.
Donc je vais faire des règles pour les protocoles qui ne supportent pas le load-balacing. Par contre, pour les connexions HTTP classiques pour les sites Internet qui nécessitent une seule IP, je ne sais pas trop comment me débrouiller :-\