Instalación pfSense con o sin routers de fibra
-
Buenas a todos, estoy empezando con pfSense (antes tenía instalado TMG 2010 pero por temas de licencias…) y tengo algunas dudas que supongo que para vosotros serán muy fáciles ;) ;) ;).
El escenario que tengo es el siguiente:Dos lineas de fibra óptica, los routers están en modo bridge conectados a un TP LINK r480rt que balancea la carga de las dos líneas. Una tiene una Ip estática y la otra dinámica.
He configurado un equipo con 3 tarjetas de red (WAN1, WAN2 y LAN) e instalado pfSense 2.2.1 + squid + squidguard.
Mi primera pregunta es si quitar los routers de telefónica y conectar directamente las ONT's al pfSense o dejar los routers?
Mi segunda pregunta es dejar el balanceados de carga TP LINK o utilizar pfSense para ese cometido? actualmente tengo una regla en el TP LINK para que ciertas IP's de la LAN salgan por la WAN que tiene la IP estática. No sé si eso se puede hacer en pfSense.Muchas gracias por vuestra ayuda y un saludo.
-
Yo dejaría a pfSense con una sola WAN como cortafuegos y squid+squidGuard.
Dejaría el balanceador tal como está.
No sé cómo está actualmente el tema de squid en MultiWAN pero tiempo atrás era un quebradero de cabeza.
Por otra parte, ruego seamos más precisos en terminología… para que se enteren todos...
http://es.wikipedia.org/wiki/Terminal_de_red_%C3%B3ptica
http://en.wikipedia.org/wiki/Network_interface_device#Optical_network_terminals
-
Muchas gracias. Es lo que pensaba, si el balanceador funciona bien para que quebrarme la cabeza (era más por quitar trastos…).
Dejaré entonces los dos router de fibra en modo bridge y el router balanceador de carga, el tema es que con este esquema hago NAT con los paquetes dos veces, una en el pfsense y otra en el router. Pero supongo que protejo más la red interna.
Ya he cambiado el título del post para hacer la pregunta mas concreta y acorde con el contenido.
Lo dicho muchas gracias bellera.
Un saludo
-
Hola de nuevo, siguiendo con mis pruebas dejé los routers de mi ISP en modo bridge y las tarjetas WAN's de pfSense cogen la IP pública sin problema, creo un grupo de gateways para balanceo y mi sorpresa es que están caídos u offline. La única forma de conseguir hacer un grupo de gateways es poniendo los routers como estaban y coger las direcciones privadas de ambos.
Por otro lado si necesito que ciertas IP's de la LAN salgan por una determinada WAN supongo que tendré que crear una regla para que salgan por el gateway asociado a esa WAN en advanced features de la misma, no?
Muchas gracias
-
Las tarjetas WAN's de pfSense cogen la IP pública sin problema, creo un grupo de gateways para balanceo y mi sorpresa es que están caídos u offline.
Eso debe ser la IP de monitoreo para cada gateway. El monitoreo se hace por ping. O pones IPs distintas que seguro que contesten SIEMPRE a ping o quitas el monitoreo.
Suelen emplearse 8.8.8.8 y 8.8.4.4
Google best address to ping
Desgraciadamente muchas IPs se protegen ante ping o su exceso, por lo que esto del monitoreo es realmente problemático de ajustar.
https://forum.pfsense.org/index.php?topic=72314.0
-
Recuerda también que hay ISP que exigen que la MAC de conexión sea la que tienen registrada.
Por eso tienes una casilla en tus WANs para imponer la MAC que tuviera cada equipo de tu ISP (en su lado público, por supuesto).
-
Muchas gracias, vaya crack bellera!! te las sabes todas…
Otra cosa, he creado una regla para activar el balanceo y que el tráfico salga por el grupo de gateways, ésto lo hace correctamente, pero tengo un par de reglas para impedir que los navegadores quiten la configuración proxy y poder navegar libremente (sacado de una de tus respuestas), ahora con la regla de balanceo que está puesta más arriba esto no me funiona y lo necesito para los "espabilaos" que tengo en la empresa, alguna otra forma ?
-
No termino de entender el problema.
Si impones pasar por el proxy a todos ¿qué hacen los espabilados?
Por favor, esquema, reglas…
-
Ya está solucionado, era cuestión de cambiar una regla de lugar.
Después de trastear varios días con pfSense me he dado cuenta que funciona muy bien pero desde mi humilde punto de vista tiene un fallo bastante grande que es la gestión del balanceo de carga, lo he configurado todo según manual de este foro, pongo una descarga pesada y el gateway por defecto se carga con el 90% o más del trabajo. Esto no funciona como debiera, es verdad que hace balanceo pero no 50/50.
-
pongo una descarga pesada y el gateway por defecto se carga con el 90% o más del trabajo. Esto no funciona como debiera, es verdad que hace balanceo pero no 50/50.
Podrías explicar con mas detalle eso de "pongo una descarga pesada" ?
-
Después de trastear varios días con pfSense me he dado cuenta que funciona muy bien pero desde mi humilde punto de vista tiene un fallo bastante grande que es la gestión del balanceo de carga, lo he configurado todo según manual de este foro, pongo una descarga pesada y el gateway por defecto se carga con el 90% o más del trabajo. Esto no funciona como debiera, es verdad que hace balanceo pero no 50/50.
¿Tus conexiones tienen el mismo ancho de banda?
En cada WAN, Advanced - Weigh permite ajustar el peso, caso de ser distintas.
Weight for this gateway when used in a Gateway Group.
Supongo que en el agrupamiento de puertas todas tus WAN tienen el mismo Tier.
Multiple links of the same priority will balance connections until all links in the priority will be exhausted.
Un problema que se presenta con el balanceo saliente es la necesidad de asegurar que las conexiones https tengan siempre la misma IP de origen y, por tanto, no balancearlas. Eso puede provocar un lógico desequilibrio en el uso de las puertas. Depende de los hábitos de los usuarios de la instalación. Por ejemplo, en una instalación donde se emplee mucho Dropbox igual conviene decir que se empleará Dropbox por la segunda puerta y el resto de tráfico https por la primera. Etc.
Por otro lado, si estás empleando squid…
Yo dejaría a pfSense con una sola WAN como cortafuegos y squid+squidGuard.
el tráfico de squid no se está balanceando.
https://doc.pfsense.org/index.php/Gateway_Settings#Gateway_Groups
https://doc.pfsense.org/index.php/Multi-WAN#Gateway_Groups
https://doc.pfsense.org/index.php/Troubleshoot_Outbound_Load_Balancing_Issues
-
@ptt:
pongo una descarga pesada y el gateway por defecto se carga con el 90% o más del trabajo. Esto no funciona como debiera, es verdad que hace balanceo pero no 50/50.
Podrías explicar con mas detalle eso de "pongo una descarga pesada" ?
Se me había pasado lo más importante, descarga pesada
Por supuesto, tu descarga se realizará por la conexión que haya pillado. No irá cambiando a mitad de descarga.
Lanza la misma descarga dos veces. Tendría que ir por un lado y otro.
Ve a una web que te tu IP pública y verás que tiene que ir cambiando de forma alternada cada vez que refrescas con el navegador. Por ejemplo, http://www.cualesmiip.com/
-
A ver puntualizo un poquito más.
Para empezar mis dos conexiones son exactamente iguales (movistar fibra 100/10), he configurado un grupo de gateways con la misma prioridad (tier 1 para ambos) y en trigger level packet loss or high latency, he creado una regla para que el tráfico web como dns salga por el grupo previamente creado, como monitor IP de cada gateway los dns de google y opendns respectivamente.
Tenéis razón con el tema de la descarga, pero viendo por ejemplo algún vídeo en un cliente o cargando una web con muchas imágenes y teniendo el gráfico de tráfico de las dos interfaces observo que el gateway que está por defecto se carga con casi todo el trabajo.
Comentar que tengo corriendo squid+squidguard y la versión de pfSense es la 2.2.1.
-
Ya que lo mencionas bellera, sería interesante lo de dirigir el tráfico de dropbox o googledrive por uno de los dos gateways, en la empresa lo utilizamos bastante.
Cómo se crearía esa regla?
-
Busca/lee acerca de "Policy Routing"
https://doc.pfsense.org/index.php/What_is_policy_routing%3F
Por el foro hay algunos hilos que hablan acerca de ello (generalmente tratan acerca de HTTPS/Bancos), incluso con ejemplos ;)
-
Muchas gracias a los dos.
-
Después de leer los enlaces que me habéis puesto no consigo hacer funcionar el tema.
ptt por mucho que creo una regla que desde cierta ip todo el trafico por cualquier puerto lo dirija al segundo gateway no hay manera (es la primera regla).
Desde el navegador del equipo afectado por la regla voy a la página cualesmiip.com y siempre me da la del otro gateway (que está por defecto), vacío la caché del navegador por si las moscas y nada, puedo probar 10 veces y siempre lo mismo.
-
Comentar que tengo corriendo squid+squidguard y la versión de pfSense es la 2.2.1.
Yo dejaría a pfSense con una sola WAN como cortafuegos y squid+squidGuard.
Dejaría el balanceador tal como está.
No sé cómo está actualmente el tema de squid en MultiWAN pero tiempo atrás era un quebradero de cabeza.
Creo que no hiciste lo que se comentó inicialmente.
Squid (and most other packages) don't understand load balancing, and will just use the WAN connection.
Even on 2.x, where many improvements have been made, there are still issues with getting Squid to properly take advantage of Multi-WAN. Check the forum for the latest developments.
https://doc.pfsense.org/index.php/Troubleshoot_Outbound_Load_Balancing_Issues#Squid_doesn.27t_seem_to_be_using_both_connections
By default, traffic using a proxy such as Squid, HAVP, or Dansguardian will bypass policy routing and use the default route for traffic at all times. It also bypasses expected outbound NAT and leaves via the WAN IP address directly.
It is possible to load balance/failover services from the local firewall such as OpenVPN, DNS requests, and Squid. That is out of the scope of this document, but may be covered elsewhere. Check the forum.
https://doc.pfsense.org/index.php/Multi-WAN#Local_Services
-
por mucho que creo una regla que desde cierta ip todo el trafico por cualquier puerto lo dirija al segundo gateway no hay manera (es la primera regla).
Desde el navegador del equipo afectado por la regla voy a la página cualesmiip.com y siempre me da la del otro gateway (que está por defecto), vacío la caché del navegador por si las moscas y nada, puedo probar 10 veces y siempre lo mismo.
Normal
squid –-> Sale siempre por la puerta por defecto
transparente ---> El tráfico de navegación es redireccionado a squid
5. Modos de trabajo del proxy squid
5.1. No transparente. Los navegadores "conocen" la presencia del proxy. El proxy "sabe" qué URLs se piden, tanto en modo http como en modo https (seguro). En LAN no debe haber reglas que permitan destinos TCP 80, 443 y http alternativos (8000-8100).
5.2. Transparente. Los navegadores "desconocen" la presencia del proxy. El proxy "no sabe" qué URLs se piden en modo https (seguro). La navegación http es enviada automáticamente al proxy. Las reglas en LAN para http carecen de sentido, pues el reenvío es incondicional.
5.3. Transparente con intercepción SSL (SSL Bump). Lo mismo que en modo Transparente (5.2.) pero también para https. Obliga a instalar certificados en los navegadores de los clientes. Necesita squid 3.x.
En squid hay la opción de bypass para NO usar el proxy para determinados destinos. Sería el caso de Dropbox.
-
Perfecto. Muchas gracias bellera.
Volveré al sistema anterior de balanceo. Era por probar, la única forma de aprender algo es trasteando y trasteando… y teniendo foros como este claro.
Tema cerrado y gracias de nuevo.