Squid + Squid Guard



  • Reciban todos un cordial saludo, escribo por que soy totalmente nuevo empleando Pfsense, sin embargo me parece muy poderoso. Yo recientemente migre de un equipo Watchguard a uno con PFsense y estoy aprendiendo muchas cosas interesantes del PFsense.
    Describo mi configuración para ver si me pueden ayudar con un pequeño detalle en mi configuración, Tengo dos Proveedores de Internet uno con un servicio dedicado por frame relay que conecto a un router y luego a mi Pfsense en la interfaz que llamare WAN 1. El Otro ISP, lo configure directamente contra un Switche Metro Ethernet y esta interfaz la llamare WAN 2.
    Luego cree el grupo Gateway para balancear las cargas entre ambos enlaces, adicionalmente cree los gateway para cuando falla la WAN 1 y la WAN 2 respectivamente. Hice las pruebas y funciona excelentemente.

    Para habilitar el filtrado instale Squid 2.7 + SquidGuard 1.9, habilite una Black list y hasta aquí todo me funciona bien.

    En las revisiones posteriores note que una entidad bancaria estaba expulsando las transacciones de las personas en la red, pensé que era un problema del Banco pero el problema siguio por varios días, decidi validar que no fuera por problemas en mi red, y realmente no encontré elementos que me indicaran error en los logs de mi pfsense, sin embargo al desconectar una de las interfaces WAN las personas pudieron realizar las operaciones bancarias sin ser expulsadas. Hice las pruebas dejando cada una de las interfaces funcionando solas y el resultado fue el mismo, sin problemas. Al habilitar nuevamente las dos interfaces WAN el problema se presento nuevamente.

    De aqui me surgen varias preguntas:
    ¿Como puedo hacer para que una vez establecida una conexión con este banco se mantenga fijo por cualquier interfaz WAN y no varie?
    ¿Es posible que la institución detecte este tipo de balanceo?

    Cualquier ayuda es bienvenida..

    Saludos



  • Para resolver esto debes enrutar la IP de cada banco para que esta mantenga la conexión por una sola WAN, Otra opción, que es la mas practica, es enrutar a que toda las conexiones que vengan desde la LAN por un puerto en especifico salga por una sola WAN (por lo general los bancos usan conexión segura HTTPS - TCP 443), con esto te evitas estudiar la IP de cada banco.

    A esto le llamo "conexión por sesión" y como tienes una balanceo de carga no se mantiene establecida en la misma conexión  WAN por la que ha iniciado. No se si me explique…

    Otra sugerencia, no deberías cachear las paginas de los bancos, también puede darte problemas.

    Espero haberte ayudado.



  • Buen día

    Concuerdo con lo que dice JDvD, aunque tambien en System-> Advanced ->Miscellanous ->  Use sticky connections, activar ese check, y te mantiene las sesiones por el canal que se haya establecido.



  • Hola

    Con la version 2.2.4 estuve probando ha hacer el balanceo y en cuanto le ponia squid y squidGuard, me dejaba de funcionar.

    En la nueva version 2.2.5 funciona esto???



  • @arangurena:

    Reciban todos un cordial saludo, escribo por que soy totalmente nuevo empleando Pfsense, sin embargo me parece muy poderoso. Yo recientemente migre de un equipo Watchguard a uno con PFsense y estoy aprendiendo muchas cosas interesantes del PFsense.
    Describo mi configuración para ver si me pueden ayudar con un pequeño detalle en mi configuración, Tengo dos Proveedores de Internet uno con un servicio dedicado por frame relay que conecto a un router y luego a mi Pfsense en la interfaz que llamare WAN 1. El Otro ISP, lo configure directamente contra un Switche Metro Ethernet y esta interfaz la llamare WAN 2.
    Luego cree el grupo Gateway para balancear las cargas entre ambos enlaces, adicionalmente cree los gateway para cuando falla la WAN 1 y la WAN 2 respectivamente. Hice las pruebas y funciona excelentemente.

    Para habilitar el filtrado instale Squid 2.7 + SquidGuard 1.9, habilite una Black list y hasta aquí todo me funciona bien.

    En las revisiones posteriores note que una entidad bancaria estaba expulsando las transacciones de las personas en la red, pensé que era un problema del Banco pero el problema siguio por varios días, decidi validar que no fuera por problemas en mi red, y realmente no encontré elementos que me indicaran error en los logs de mi pfsense, sin embargo al desconectar una de las interfaces WAN las personas pudieron realizar las operaciones bancarias sin ser expulsadas. Hice las pruebas dejando cada una de las interfaces funcionando solas y el resultado fue el mismo, sin problemas. Al habilitar nuevamente las dos interfaces WAN el problema se presento nuevamente.

    De aqui me surgen varias preguntas:
    ¿Como puedo hacer para que una vez establecida una conexión con este banco se mantenga fijo por cualquier interfaz WAN y no varie?
    ¿Es posible que la institución detecte este tipo de balanceo?

    Cualquier ayuda es bienvenida..

    Hola creo que un posible factor es, que pfsense funciona tambien como ruteador  y algunos protocolos de enrutamineto  como por ejeplo ripv2, eigrp utilizan el balanceo de carga no solo para distribuir, si no para entrar con ese enlace en caso de fallos, es algo asi como un RAID 1 en un servidor..seria cuestion de validar que esto no te este afectando. saludos



  • Buen día

    Yo tengo esa última versión con squid+squidguard+wan failover sin problemas, debe ser algo que tienes mal configurado.


Log in to reply