Alta Disponibilidad y Balanceo de dos canales



  • Hola Compañeros

    La verdad soy nuevo en pfsense y quisiera que me ayudaran con este proyecto que  tengo de la universidad la idea es cuando lo termine compartir a todos

    El proyecto que plantean es unir dos sedes (sede A con sede B) , donde la sede A es la principal con dos proveedores de internet. los requisitos es que tenga seguridad, alta disponibilidad en conectividad, balanceo de carga, navegación internet con restricciones. Mis compañeros lo plantean con router ciscos o soluciones de pago en este caso he querido trabajar con pfsense para que sea Open Source, hize un diagrama para representarlo.

    Lo que logrado configurar hasta el momento emulando todo con VirtualBox es lo siguiente.

    • Configuración de proxy en cada uno de los Pfsense

    • Configuración de la VPN con IPSEC y tengo comunicación entre la LAN de la sede A con la LAN de la sede B y viceversa.

    Problemas.

    • Estoy trabajando con la conexión  de las dos sedes por medio del Canal Dedicado tengo algo de dificultad en la parte de enrutamiento.

    • La verdad no se como hacer la alta disponibilidad a nivel de conectividad que si se cae un canal todo el trafico de redirija al otro canal y viceversa,  he visto lo de MultiWan pero no se como adaptarlo al tener un canal con VPN y el otro canal dedicado o se hay otra forma.

    • La parte de Balanceo tampoco la tengo clara la idea es poder configurar que el trafico sea 50 % por el canal dedicado y 50 % por la VPN.

    Espero que me puedan ayudar con documentación donde pueda leer para terminar el proyecto y opiniones.

    Muchas Gracias



  • lo que no entiendo bien es como saldrias a la vpn, por internet ?

    el balanceo lo puedes hacer solo con interaces fisicas o VLANs ,aqui hay algo de info sobre como pasar el inter por la VPN. No se si se pueda balancear este trafico.

    que parte del enrutamiento ?

    el balanceo y el failover lo puedes hacer solo con las interfaces fisicas/VLAN.
    Puedes poner a funcionar el faiolver para la conexion de VPNs o utilizar un esquema de tuneles paralelos , creo qe hay algo de info en el foro de ingles.



  • Hola acriollo

    Muchas gracias por responder mi inquietud.

    La verdad creo que la imagen no es muy clara, hice una nueva

    Si no se bien esta es la ruta de la Imagen

    http://imagizer.imageshack.us/a/img904/1925/XgTdlJ.jpg

    Lo que hecho hasta el momento es lo siguiente.

    1. Configuración del proxy.

    2. Conectar la lan de la sede A con la lan de la Sede B por el canal dedicado  para esto cree rutas estáticas en cada uno de los pfsense.

    Pfsense Sede A

    Network Gateway Interface Descripcion
    172.16.0.0/24 192.168.100.2 CANAL GwcanalA

    Pfsense Sede B

    Network Gateway Interface Descripcion
    172.16.2.0/24 192.168.100.1 CANAL GwcanalB

    Habilitando todo el trafico por la interfaz CANAL(canal dedicado) en el firewall logro ping desde la sede A hasta la Sede B en cada uno de los Pfsense.

    3. Logre hacer un túnel VPN por la interfaz WAN (internet) con ipsec.

    4. Con respecto a la alta disponibilidad de conectividad entre las dos sedes lo que se quiere es los siguiente.

    Teniendo dos canales entre la sede A y la sede B el CANAL DEDICADO y la VPN poder hacer alta disponibilidad como MultiWan no se si aplica y hay otro método, por ejemplo que todo el trafico entre las dos sedes se vaya por el canal dedicado pero en caso de que se llegara a caer el trafico sea redirigido por la VPN hasta cuando el canal este arriba nuevamente.

    5. Lo de Balanceo si es posible poder enviar la mitad el trafico por el canal dedicado y la otra mitad por la VPN en caso de que alguno se baje todo el trafico se redirigía por el canal es que este arriba.

    Espero que me haga entender, todo lo que he hecho con virtualbox.

    Muchas Gracias.



  • veo que vas bastante avanzado.

    No tengo informacion en relacion a el balanceo o failover con VPNs de IPSec ya que en el caso de pfsense no hay interfaces de pormedio.  El trafico se encapsula en la VPN segun las reglas del firewall.

    Ojala y que Bellera puera comentar algo al respecto ya que es de los usuarios mas avanzados del foro.



  • Hola

    En este tema tengo algo similar configurado en una empresa,

    1 tienes configurado el IPsec de los 2 canales? que te falta?
    2 veo un proxy cual es el pfsense que va ser el router hacia internet?
    3 la parte del balanceo se define en las Rules de la intefaz de iPsec hay que ver que routes tiene para definir que trafico vas a balancear



  • Hola gersonofstone

    Pues solo tengo por un canal el wan el Ipsec el otro es un canal dedicado por donde he enrutado el trafico para que los dos pfsense se puede ver.
    Lo que me hace falta es.

    La parte de alta disponibilidad a nivel de conectividad con canal dedicado y la vpn. Con respecto a la alta disponibilidad de conectividad entre las dos sedes lo que se quiere es los siguiente.

    Teniendo dos canales entre la sede A y la sede B el CANAL DEDICADO y la VPN poder hacer alta disponibilidad como MultiWan no se si aplica y hay otro método, por ejemplo que todo el trafico entre las dos sedes se vaya por el canal dedicado pero en caso de que se llegara a caer el trafico sea redirigido por la VPN hasta cuando el canal este arriba nuevamente.

    5. Lo de Balanceo si es posible poder enviar la mitad el trafico por el canal dedicado y la otra mitad por la VPN en caso de que alguno se baje todo el trafico se redirigía por el canal es que este arriba.

    Muchas Gracias

    Felipe Arciniegas.



  • Hasta donde se, no vas a poder rutear alternativamente entre las dos mismas subredes si una de las conexiones es IPsec, ya que el ruteo no es transparente para el sistema, racoon esta "enchufado" directo al kernel por decirlo de alguna manera (al menos hasta las versiones 2.1.x). Si la VPN es de tipo OpenVPN por ejemplo, en ese caso calculo que podrías utilizar OSPF o algun otro protocolo de ruteo para establecer la alta disponibilidad



  • Esto es correcto .

    No hay una interface de por medio que pudiera establecerse como failover o agrupada para un balanceo ya que los paquetes se van por el tunel segun las reglas del mismo tunel. Aunque si es posible qe tengas el enlace dedicado y uses el tunnel de manera manual para mandar todo el trafico de internet por el tunel ipsec.

    Tal vez con otra caja como Forti, que te deja tener un tunel en modo interfaz.

    Saludos