Solução Para o Load Balance e FailOver + Squid
-
Bom Dia a todos!
Pessoal,
Pesquisei em sites gringos e brasileiros e só vejo possíveis caminhos, dos quais não funcionam! Se houver algum caso que funcione (se eu estiver errado me corrijam) é gambiarrado, pois já consultei especialistas na ferramenta, foruns, materiais etc., e a informação que tenho é que a partir da versão 2.1.x não há nada especifico para que o FailOver funcione adequadamente com o Squid.
Sinceramente, desisti de tentar fazer funcionar, até que saia algum recurso oficial e funcione. Resolvi tomar um caminho diferente, criei dois grupos de Gateway, no qual funciona como FailOver somente, sendo:
-Grupo01 | GW1_Default e GW2_Backup
-Grupo02 | GW2_Default e GW1_BackupO GW1 é o link principal, pois é mais estável e veloz;
O GW2 é o link secundário, possui uma velocidade inferior e cai com certa frequência.Então segui o seguinte caminho, a navegação em sites e acesso ao sistema (que é em nuvem), ou seja, acessos que são visíveis aos usuários, deixei saindo pelo Grupo 01. Equanto que serviços como envio e recebimento de e-mail, deixei saindo pelo Grupo 02, pois uma vez que o usuário envia a mensagem, a mesma fica em segundo plano e o usuário não percebe tanto a performance como o abrir de uma pagina.
Da forma que sigo no momento, me supre tranquilamente, porque distribui a carga e caso um link cai, o outro assumira normalmente.
Se alguém tive alguma outra solução mais interessante, compartilhe conosco.
Abraços,
-
Qual a regra pra o Pfsense assumir o gateway backup ?
-
wssilva não sei se você tentou desta forma abaixo, mas aqui utilizo um ambiente com load balance com squid3-dev autenticado e com carp e funciona muito bem.
A configuração que fiz para o squid funcionar com load balance foi a seguinte:
1 - Na configuração do squid3-dev, alem de selecionar a interface de rede lan para rodar o squid, escolha tambem a interface loopback.
2 - Ainda na configuração do squid3-dev vai no campo Custom Settings -> Custom ACLS (Before_Auth) e coloque esta linha: tcp_outgoing_address 127.0.0.1
3 - Vai na menu Firewall > NAT -> Outbound e coloque como: Manual Outbound NAT rule generation (AON - Advanced Outbound NAT). Ele deve criar umas regras, remova todas e crie uma nova regra regra. Esta nova regra você ira selecionar a interface Wan e Source Any e Destination Any e mande salvar.
4 - Menu System -> Advanced -> Miscellaneous na sessão Load Balancing marque as opções: Use sticky connections e Allow default gateway switching
Reforçando, utilizo squid em modo autenticado.
-
gilmarcabral preciso para transparente seria ótimo se fosse com squid3-dev mas nesse momento pode ser com qualquer um.. mas que funciona pois já levantei varios e só fica no failover….
É complicado ter que compra uma UTM para issoo empresas do interior são pequenas e fica limitada a essa categoria... :-\ :-\ :-\
-
Bom dia.
Você devera fazer a mesma configuração que envei no email anterior,
Estou anexando ums print de como deverá ficará a configuração.
Pfsense atende desde pequenos ambientes como grande ambiente.
Um exemplo, ate a Oi utiliza o pfsense em suas solução de cloud.
 -
Boa noite!
Mateus0032 e Gilmarcabral, vou descrever aqui como uso o balanceamento e failover de links no pfSense 2.1.4 e 2.1.5
Tive a ajuda do LFCavalcanti
Post: https://forum.pfsense.org/index.php?topic=80536.msg441528#msg441528Versão
2.1.5-RELEASE (i386)
built on Mon Aug 25 07:44:26 EDT 2014Pacotes Instalados:
squid3-dev (proxy transparente)
squidGuard-squid3Links
NET VIRTUA (WAN_ARI) - 5Mbps
OI VELOX (WAN_DUDU) - 3MbpsSegue os passos
1. Vá em System -> Advanced navegue até a aba Miscellaneous em Load Balancing marque a opção Allow default gateway switching e clique em Save
IMG012. Vá agora em System ->Routing ->Gateways e configure os Gateways com um IP externo para monitoramento, limites de latência e perca de pacotes logo depois salve as configurações.
3. Vá agora na aba Groups crie um grupo com esses Gateways, no mesmo Tier te dará balanceamento ativo, com Tier diferente é como um Fail Over apenas.
Criei três grupos como na imagem IMG02.
4. Agora vá em Firewall ->Rules ->SUA_LAN
Crie as regras usando os Gateways criados, LoadBalance, FailOver01 e FaioOver02.
IMG035. IMG04
OBS: Peço que poste o resultado, isso ira ajudar vários membros do forum. Caso eu tenha informado algum passo/configuração incorreta peço a gentileza de informar o erro.
-
helberttavares parabéns pelo roteiro.
Utilizo desta forma que você descreveu.
Tenho ambiente rodando com loas balance e failover com squid3 fev funcionado
perfeitamente.
Vamos aguardar o Mateus0032 -
gilmarcabral e helberttavares… Muito obrigado pelo feedback de voces estarei realizando as configurações e deixarei o feedback pra o pessoal do forum... agradeço no a boa vontade de voces... :) ;D
-
Olá pessoal infelizmente a conexão só sai por um dos links fazendo as configurações do gilmarcabral ou do helberttavares…
não sei se proxy transparent da problemas naum da.... vou deixar os prints das regras para voces conferirem....
deixarei um print sem proxy com o balanceamento...
Mesmo usando tcp_outgoing_address 127.0.0.1 no squid3-dev e Manual Outbound NAT rule generation o trafego sai somente por um dos links....
:( :( :(
 -
Como esta a configuração do GW na parte de Monitor IP?
Esta utilizando algum ip de monitoramento? -
Estou utilizando os do Google
8.8.8.8 e 8.4.4 mas mudo para do opendns para o gigadns e da na mesma… -
esse erro é quando habilito loopbck tanto no Proxy interface(s) e no Transparent HTTP proxy…
 -
Bom dia!
Mateus, acho que o seu problema deve estar nas ordens das regras.No pfSense 2.1.x não precisa usar o tcp_outgoing_address e regras de Floating para loadbalance.
-
helberttavares Boa dia !
Não estou usando nenhuma regra adicional, somente as que voce indicou… acho muito estranho pois mesmo levantado varios pf nunca obtive resultado.. lembrando que é proxy transparente e são dois links da OI de 10MB cada. E não estão em PPPOe…
O motivo de utilizar tcp_outgoing_address e regras de Floating para loadbalance foi para desencargo de consciência.. sendo que a cada configuração eu reiniciava o pf para garantia tanto com ou sem regras de tcp_outgoing_address e regras de Floating para loadbalance…
Pode ser DNS?? algo na minha internet da OI??
-
Cria uma regra para teste.
EX:
IPv4 * LAN_ net * * * LBFO none
-
Esta ai o resultado… ??? :-\
-
:-\ :-\
Como está configurado limites de latência e perca de pacotes nos gateways?
-
esta dessa forma… bom não utilizo limites de latencia aqui na região qualquer coisa chega ao 900-1000 então optei por member down teria problema isso..?
 -
Manda o print da tela referente a parte da configuração System: Gateway Groups.
Onde você defenriu os tier, como esta o Trigger Level ?
-
Olá segue os prints gilmarcabral…
