Instalación pfSense con o sin routers de fibra



  • Buenas a todos, estoy empezando con pfSense (antes tenía instalado TMG 2010 pero por temas de licencias…) y tengo algunas dudas que supongo que para vosotros serán muy fáciles ;) ;) ;).
    El escenario que tengo es el siguiente:

    Dos lineas de fibra óptica, los routers están en modo bridge conectados a un TP LINK r480rt que balancea la carga de las dos líneas. Una tiene una Ip estática y la otra dinámica.
    He configurado un equipo con 3 tarjetas de red (WAN1, WAN2 y LAN) e instalado pfSense 2.2.1 + squid + squidguard. 
    Mi primera pregunta es si quitar los routers de telefónica y conectar directamente las ONT's al pfSense o dejar los routers?
    Mi segunda pregunta es dejar el balanceados de carga TP LINK o utilizar pfSense para ese cometido? actualmente tengo una regla en el TP LINK para que ciertas IP's de la LAN salgan por la WAN que tiene la IP estática. No sé si eso se puede hacer en pfSense.

    Muchas gracias por vuestra ayuda y un saludo.



  • Yo dejaría a pfSense con una sola WAN como cortafuegos y squid+squidGuard.

    Dejaría el balanceador tal como está.

    No sé cómo está actualmente el tema de squid en MultiWAN pero tiempo atrás era un quebradero de cabeza.

    Por otra parte, ruego seamos más precisos en terminología… para que se enteren todos...

    http://es.wikipedia.org/wiki/Terminal_de_red_óptica

    http://en.wikipedia.org/wiki/Network_interface_device#Optical_network_terminals



  • Muchas gracias. Es lo que pensaba, si el balanceador funciona bien para que quebrarme la cabeza (era más por quitar trastos…).

    Dejaré entonces los dos router de fibra en modo bridge y el router balanceador de carga, el tema es que con este esquema hago NAT con los paquetes dos veces, una en el pfsense y otra en el router. Pero supongo que protejo más la red interna.

    Ya he cambiado el título del post para hacer la pregunta mas concreta y acorde con el contenido.

    Lo dicho muchas gracias bellera.

    Un saludo



  • Hola de nuevo, siguiendo con mis pruebas dejé los routers de mi ISP en modo bridge y las tarjetas WAN's de pfSense cogen la IP pública sin problema, creo un grupo de gateways para balanceo y mi sorpresa es que están caídos u offline. La única forma de conseguir hacer un grupo de gateways es poniendo los routers como estaban y coger las direcciones privadas de ambos.

    Por otro lado si necesito que ciertas IP's de la LAN salgan por una determinada WAN supongo que tendré que crear una regla para que salgan por el gateway asociado a esa WAN en advanced features de la misma, no?

    Muchas gracias



  • @MichelR:

    Las tarjetas WAN's de pfSense cogen la IP pública sin problema, creo un grupo de gateways para balanceo y mi sorpresa es que están caídos u offline.

    Eso debe ser la IP de monitoreo para cada gateway. El monitoreo se hace por ping. O pones IPs distintas que seguro que contesten SIEMPRE a ping o quitas el monitoreo.

    Suelen emplearse 8.8.8.8 y 8.8.4.4

    Google best address to ping

    Desgraciadamente muchas IPs se protegen ante ping o su exceso, por lo que esto del monitoreo es realmente problemático de ajustar.

    https://forum.pfsense.org/index.php?topic=72314.0



  • Recuerda también que hay ISP que exigen que la MAC de conexión sea la que tienen registrada.

    Por eso tienes una casilla en tus WANs para imponer la MAC que tuviera cada equipo de tu ISP (en su lado público, por supuesto).



  • Muchas gracias, vaya crack bellera!! te las sabes todas…

    Otra cosa, he creado una regla para activar el balanceo y que el tráfico salga por el grupo de gateways, ésto lo hace correctamente, pero tengo un par de reglas para impedir que los navegadores quiten la configuración proxy y poder navegar libremente (sacado de una de tus respuestas), ahora con la regla de balanceo que está puesta más arriba esto no me funiona y lo necesito para los "espabilaos" que tengo en la empresa, alguna otra forma ?



  • No termino de entender el problema.

    Si impones pasar por el proxy a todos ¿qué hacen los espabilados?

    Por favor, esquema, reglas…



  • Ya está solucionado, era cuestión de cambiar una regla de lugar.

    Después de trastear varios días con pfSense me he dado cuenta que funciona muy bien pero desde mi humilde punto de vista tiene un fallo bastante grande que es la gestión del balanceo de carga, lo he configurado todo según manual de este foro, pongo una descarga pesada y el gateway por defecto se carga con el 90% o más del trabajo. Esto no funciona como debiera, es verdad que hace balanceo pero no 50/50.


  • Rebel Alliance

    @MichelR:

    pongo una descarga pesada y el gateway por defecto se carga con el 90% o más del trabajo. Esto no funciona como debiera, es verdad que hace balanceo pero no 50/50.

    Podrías explicar con mas detalle eso de "pongo una descarga pesada" ?



  • @MichelR:

    Después de trastear varios días con pfSense me he dado cuenta que funciona muy bien pero desde mi humilde punto de vista tiene un fallo bastante grande que es la gestión del balanceo de carga, lo he configurado todo según manual de este foro, pongo una descarga pesada y el gateway por defecto se carga con el 90% o más del trabajo. Esto no funciona como debiera, es verdad que hace balanceo pero no 50/50.

    ¿Tus conexiones tienen el mismo ancho de banda?

    En cada WAN, Advanced - Weigh permite ajustar el peso, caso de ser distintas.

    Weight for this gateway when used in a Gateway Group.

    Supongo que en el agrupamiento de puertas todas tus WAN tienen el mismo Tier.

    Multiple links of the same priority will balance connections until all links in the priority will be exhausted.

    Un problema que se presenta con el balanceo saliente es la necesidad de asegurar que las conexiones https tengan siempre la misma IP de origen y, por tanto, no balancearlas. Eso puede provocar un lógico desequilibrio en el uso de las puertas. Depende de los hábitos de los usuarios de la instalación. Por ejemplo, en una instalación donde se emplee mucho Dropbox igual conviene decir que se empleará Dropbox por la segunda puerta y el resto de tráfico https por la primera. Etc.

    Por otro lado, si estás empleando squid…

    Yo dejaría a pfSense con una sola WAN como cortafuegos y squid+squidGuard.

    el tráfico de squid no se está balanceando.

    https://doc.pfsense.org/index.php/Gateway_Settings#Gateway_Groups

    https://doc.pfsense.org/index.php/Multi-WAN#Gateway_Groups

    https://doc.pfsense.org/index.php/Troubleshoot_Outbound_Load_Balancing_Issues



  • @ptt:

    @MichelR:

    pongo una descarga pesada y el gateway por defecto se carga con el 90% o más del trabajo. Esto no funciona como debiera, es verdad que hace balanceo pero no 50/50.

    Podrías explicar con mas detalle eso de "pongo una descarga pesada" ?

    Se me había pasado lo más importante, descarga pesada

    Por supuesto, tu descarga se realizará por la conexión que haya pillado. No irá cambiando a mitad de descarga.

    Lanza la misma descarga dos veces. Tendría que ir por un lado y otro.

    Ve a una web que te tu IP pública y verás que tiene que ir cambiando de forma alternada cada vez que refrescas con el navegador. Por ejemplo, http://www.cualesmiip.com/



  • A ver puntualizo un poquito más.

    Para empezar mis dos conexiones son exactamente iguales (movistar fibra 100/10), he configurado un grupo de gateways con la misma prioridad (tier 1 para ambos) y en trigger level packet loss or high latency, he creado una regla para que el tráfico web como dns salga por el grupo previamente creado, como monitor IP de cada gateway los dns de google y opendns respectivamente.

    Tenéis razón con el tema de la descarga, pero viendo por ejemplo algún vídeo en un cliente o cargando una web con muchas imágenes y teniendo el gráfico de tráfico de las dos interfaces observo que el gateway que está por defecto se carga con casi todo el trabajo.

    Comentar que tengo corriendo squid+squidguard y la versión de pfSense es la 2.2.1.



  • Ya que lo mencionas bellera, sería interesante lo de dirigir el tráfico de dropbox o googledrive por uno de los dos gateways, en la empresa lo utilizamos bastante.

    Cómo se crearía esa regla?


  • Rebel Alliance

    Busca/lee acerca de "Policy Routing"

    https://doc.pfsense.org/index.php/What_is_policy_routing%3F

    Por el foro hay algunos hilos que hablan acerca de ello (generalmente tratan acerca de HTTPS/Bancos), incluso con ejemplos ;)



  • Muchas gracias a los dos.



  • Después de leer los enlaces que me habéis puesto no consigo hacer funcionar el tema.

    ptt por mucho que creo una regla que desde cierta ip todo el trafico por cualquier puerto lo dirija al segundo gateway no hay manera (es la primera regla).

    Desde el navegador del equipo afectado por la regla voy a la página cualesmiip.com y siempre me da la del otro gateway (que está por defecto), vacío la caché del navegador por si las moscas y nada, puedo probar 10 veces y siempre lo mismo.



  • @MichelR:

    Comentar que tengo corriendo squid+squidguard y la versión de pfSense es la 2.2.1.

    @bellera:

    Yo dejaría a pfSense con una sola WAN como cortafuegos y squid+squidGuard.

    Dejaría el balanceador tal como está.

    No sé cómo está actualmente el tema de squid en MultiWAN pero tiempo atrás era un quebradero de cabeza.

    Creo que no hiciste lo que se comentó inicialmente.

    Squid (and most other packages) don't understand load balancing, and will just use the WAN connection.

    Even on 2.x, where many improvements have been made, there are still issues with getting Squid to properly take advantage of Multi-WAN. Check the forum for the latest developments.

    https://doc.pfsense.org/index.php/Troubleshoot_Outbound_Load_Balancing_Issues#Squid_doesn.27t_seem_to_be_using_both_connections

    By default, traffic using a proxy such as Squid, HAVP, or Dansguardian will bypass policy routing and use the default route for traffic at all times. It also bypasses expected outbound NAT and leaves via the WAN IP address directly.

    It is possible to load balance/failover services from the local firewall such as OpenVPN, DNS requests, and Squid. That is out of the scope of this document, but may be covered elsewhere. Check the forum.

    https://doc.pfsense.org/index.php/Multi-WAN#Local_Services



  • por mucho que creo una regla que desde cierta ip todo el trafico por cualquier puerto lo dirija al segundo gateway no hay manera (es la primera regla).

    Desde el navegador del equipo afectado por la regla voy a la página cualesmiip.com y siempre me da la del otro gateway (que está por defecto), vacío la caché del navegador por si las moscas y nada, puedo probar 10 veces y siempre lo mismo.

    Normal

    squid –-> Sale siempre por la puerta por defecto

    transparente ---> El tráfico de navegación es redireccionado a squid

    @bellera:

    5. Modos de trabajo del proxy squid

    5.1. No transparente. Los navegadores "conocen" la presencia del proxy. El proxy "sabe" qué URLs se piden, tanto en modo http como en modo https (seguro). En LAN no debe haber reglas que permitan destinos TCP 80, 443 y http alternativos (8000-8100).

    5.2. Transparente. Los navegadores "desconocen" la presencia del proxy. El proxy "no sabe" qué URLs se piden en modo https (seguro). La navegación http es enviada automáticamente al proxy. Las reglas en LAN para http carecen de sentido, pues el reenvío es incondicional.

    5.3. Transparente con intercepción SSL (SSL Bump). Lo mismo que en modo Transparente (5.2.) pero también para https. Obliga a instalar certificados en los navegadores de los clientes. Necesita squid 3.x.

    En squid hay la opción de bypass para NO usar el proxy para determinados destinos. Sería el caso de Dropbox.



  • Perfecto. Muchas gracias bellera.

    Volveré al sistema anterior de balanceo. Era por probar, la única forma de aprender algo es trasteando y trasteando… y teniendo foros como este claro.

    Tema cerrado y gracias de nuevo.



  • Ok, es un tema recurrente esto de tener a squid en pfSense y quererlo hacer salir por más de una WAN.

    Muchas intervenciones en los foros pero nunca he visto una solución definitiva. Si alguien la encuentra…

    Lo más reciente que he visto es

    \combining pfSense+Squid Proxy+LoadBalancer/Failover will be welcome\ Already Prepared have to publish shortly..

    http://www.tecmint.com/how-to-setup-failover-and-load-balancing-in-pfsense/comment-page-1/#comment-492513

    Como siempre, vaya.



  • Hola, soy novato por estos foros pero, llevo a mis espaldas este fantástico firewall años.

    Yo tengo dos Fibras de Movistar conectadas al pFsense, por supuesto sin router están conectadas directamente a la ONT

    Lo primero que hay que hacer es crear en Interfaces: VLAN  la vlan6 para la tarjeta de red donde conectaremos nuestra ONT, la ONT de movistar entrega el trafico tageado en la vlan6.

    Por último hay que asignar esa nueva red  y configurar PPPoE con la configuración estándar de mosvistar

    Usuario: adslppp@telefonicanetpa
    Password: adslppp

    y con esto eliminamos el router  y solo tenemos la ONT.



  • Como comenta bellera, no hay una solucion que funcione aun de manera eficiente con el tema del proxy y el balanceo.

    Lo mejor es dejar el pfsense con el squid+squidguard y poner algo al frente que haga las funciones de balanceo.

    Ahora, si el tema es que se quiere que algunas pcs  o servicios vayan por un enlace y otras(os) por otro enlace  , lo que se podria hacer es usar el balanceador - si es que lo permite - en modo de ruteador y no en modo NAT. de esta manera podriamos recibir las peticiones de la red interna del pfsense con las ips de origen y de esta manera poder hacer el policy routing en el balanceador.

    Habria que deshabilitar por lo tanto el NAT en el pfsense y solo hacer ruteo.

    Creo que podria funcionar .

    Saludos


Log in to reply