LoadBalancing и дисконекты.
-
Добрый день. Ребят такой вопрос.
Имеется два WAN gataway'a в группе. Настроены на балансировку. По мимо этих интерфейсов есть еще два. Lan1 и Lan2.
В Lan2 есть сервера RDP(не суть важно).
Люди из Lan1 работают с серверами из Lan2.
Так вот. Когда падает один из WAN'ов, перестраивается вся таблица маршрутизации. При этом люди которые работают из Lan1 в Lan2, на них это отражается в виде дисконекта RDP секунд на 5.
Почему это проблема? Потому что один из WAN'ов 4g модем, который не очень стабилен и часто падает. Пользователи страдают.
Можно ли как то исключить эти интерфейсы при перестроении таблицы?
-
Наблюдал подобное, при падении резевного WAN (Tier 2) иногда (а может всегда, не знаю ,n-секундный обрыв мне не страшен) падает, а затем восстанавливается внешний Open VPN линк к моему pfSense.
-
Да, но исходя из особенностей 4g модема это происходит часто. До 4ех раз в час. Можно поставить "The number of seconds of failed probes before the alarm will fire". Но тогда нет смысла в балансировке.
-
Имеется два WAN gataway'a в группе. Настроены на балансировку.
Так вот. Когда падает один из WAN'ов, перестраивается вся таблица маршрутизации.
Можно ли как то исключить эти интерфейсы при перестроении таблицы?
Можно попробовать уйти от перестройки отключив автовыбор "default geatwey". Если конечно, он сейчас включен.
При этом люди которые работают из Lan1 в Lan2, на них это отражается в виде дисконекта RDP секунд на 5.
Подобные странности я имел когда явно прописывал шлюзы в разделе interfaces. Попробуйте убрать данные настройки, если они имеются.
Почему это проблема? Потому что один из WAN'ов 4g модем, который не очень стабилен и часто падает. Пользователи страдают.
Если страдают пользоваетели, это не страшно. Если страдает бизнес, выкиньте модем.
-
@oleg1969:
Это нормальное явление !!,если падает один из WAN ( проверяется в основном пингом работоспособность упавшего шлюза– а на это уходит определенное время прим 2-5сек и получается обрыв)
Даже на двух оптиках такое происходитВ System: Gateways: Edit gateway можно дополнительно настроить методы проверки шлюзов в Advanced
Знаю что нормальное, но хотелось бы уйти от LAN интерфейсов. Нет необходимости реконектить локальную сеть. С Advanced игрался. Помогает, но в корне не решает проблему. Аля, отстаньте сегодня пятница в понедельник доделаю))
Можно попробовать уйти от перестройки отключив автовыбор "default geatwey". Если конечно, он сейчас включен.
default geatwey стоит. но как это спасет положение? Убрал галку, посмотрю на поведение. Только вот, ну убрали мы шлюз по умолчанию, если упадет гейт из группы, таблица ведь все равно перестроиться. Или я неверно понимаю?
Подобные странности я имел когда явно прописывал шлюзы в разделе interfaces. Попробуйте убрать данные настройки, если они имеются.
Пропадут маршруты, если явно их убрать в inerfaces
Если страдают пользоваетели, это не страшно. Если страдает бизнес, выкиньте модем.
Бизнес страдает, но все мы понимаем с какой радостью выделяют бюджет.
-
default geatwey стоит. но как это спасет положение? Убрал галку, посмотрю на поведение. Только вот, ну убрали мы шлюз по умолчанию, если упадет гейт из группы, таблица ведь все равно перестроиться. Или я неверно понимаю?
Тут как настроено. Если в правилах фаервола указано использовать группу шлюзов, то всё будет работать как надо.
Пропадут маршруты, если явно их убрать в inerfaces
Нет. Для страховки стоит иметь резервную копию конфигурации. И перепроверить system\routing Стоп! У Вас же 4G? Следовательно автоматическое получение настроек?
Бизнес страдает, но все мы понимаем с какой радостью выделяют бюджет.
Значит постараться разобраться и устранить столь частые дисконекты. Переключение 4G/3G, удлинитель, перегрев, взаимное влияние модемов, третьи силы? Если всё тщетно, придумать другой алгоритм балансировки, скажем проблемный канал только для ютуа.
Но в любом случае падение канала по WAN стороне никак не должно отражаться на LAN1<–->LAN2.
-
Насколько я помню в pfSense такое поведение нормально, есть специальный параметр отвечающий за reset state при обнаружении разрыва.
Варианта решения 2
Или вы отключаете отключаете эту настройку в Advanced, при этом может быть залипание связи.
Или просто разрешаете между lan1 и lan2 любой трафик.
Для udp это не так страшно, а для tcp необходимо правило прохождения пакетов с любыми флагами, по умолчанию разрешается только ack-sync, потом срабатывает правило establish соединений.
Правда еще 3-й путь в настройках advanced есть пункт разрешающий любой трафик между link-local сетями
-
Правда еще 3-й путь в настройках advanced есть пункт разрешающий любой трафик между link-local сетями
Можно поподробней?
-
Пока что убрал checkbox в System: Advanced: Miscellaneous:Load Balancing
Allow default gateway switching
If the link where the default gateway resides fails switch the default gateway to another available one.
Вроде как не сбрасывает соединения.Правда еще 3-й путь в настройках advanced есть пункт разрешающий любой трафик между link-local сетями
Я так понял речь об этом? System: Advanced: Firewall and NAT:Firewall Advanced
Static route filtering
Bypass firewall rules for traffic on the same interface
This option only applies if you have defined one or more static routes. If it is enabled, traffic that enters and leaves through the same interface will not be checked by the firewall. This may be desirable in some situations where multiple subnets are connected to the same interface.