Netgate SG-1000 microFirewall

Author Topic: Gateway group per una WAN dopata  (Read 159 times)

0 Members and 1 Guest are viewing this topic.

Offline CC88

  • Jr. Member
  • **
  • Posts: 39
  • Karma: +0/-0
    • View Profile
Gateway group per una WAN dopata
« on: October 04, 2017, 02:07:10 am »
Salve a tutti.

Ho una macchina pfsense 2.3.4-p1 con configurato il group gateway per poter utilizzare due fibre da 100mbit in join e raddoppiare così le velocità di upload e download.

Va tutto bene se non che in alcuni forum probabilmente il sistema ha una sorta di antispam e vede arrivare dallo stesso utente due ip diversi in fase di login e rigetta la richiesta, con disconnessione senza preavviso.

Domanda: c'è modo di uscire sempre e solo con un ip ma continuando ad usare la WAN dopata?

Grazie.

« Last Edit: October 04, 2017, 05:12:24 am by CC88 »

Offline Fumetto

  • Newbie
  • *
  • Posts: 22
  • Karma: +0/-0
    • View Profile
Re: Gateway group per una WAN dopata
« Reply #1 on: October 04, 2017, 07:05:33 pm »
Puoi utilizzare una regola per cui un dato IP interno esca sempre e solo da un dato gateway (wan), ma se ne andrebbe a donne di facili costumi il sistema SuperWAN per quell'IP...

Offline fabio.vigano

  • Sr. Member
  • ****
  • Posts: 531
  • Karma: +18/-0
    • View Profile
    • pfSense Italy la risorsa italiana per pfSense
Re: Gateway group per una WAN dopata
« Reply #2 on: October 05, 2017, 03:30:05 am »
Ciao,
il join si chiama loadbalancing e non permette di raddoppiare ma di aggregare(bilanciare).

Alcuni software riescono a sfruttare l'aggregazione perchè aprendo più connessioni queste vengono bilanciate su entrambe le wan permettendoti di sfruttare al massimo le due connessioni.
Questo ti da la sensazione di viaggiare a 200mbps ma in realtà non è proprio così.

Con protocolli sicuri il loadbalancing non funziona, la questione risiede nel funzionamento del protocollo TCP/IP, così come non è possibile uscire da un unica wan ma sfruttare anche l'altra.

Curiosità, perchè hai messo Tier3 le due connessioni? in un bilanciamento dovrebbero essere tutte Tier1
Ciao Fabio
========================
pfSenseItaly.com
La risorsa italiana per pfSense

Offline CC88

  • Jr. Member
  • **
  • Posts: 39
  • Karma: +0/-0
    • View Profile
Re: Gateway group per una WAN dopata
« Reply #3 on: October 05, 2017, 03:58:02 am »
Grazie per le risposte.

Ho seguito questo:
https://www.youtube.com/watch?v=UVbXy7vSrj0

evidentemente alcuni tutorial andrebbero rivisti... da qualcuno più esperto.

Quote
Questo ti da la sensazione di viaggiare a 200mbps ma in realtà non è proprio così

quindi perchè se tolgo la superwan come gateway ed uso una delle due fibre, vado 'solo' a circa 80mbit mentre con la superwan intorno ai 160 su speedtest?

Offline fabio.vigano

  • Sr. Member
  • ****
  • Posts: 531
  • Karma: +18/-0
    • View Profile
    • pfSense Italy la risorsa italiana per pfSense
Re: Gateway group per una WAN dopata
« Reply #4 on: October 05, 2017, 11:20:41 am »
Ciao,
andiamo per ordine:

Punto 1
Gli 80 Mbps sono dovuti al fatto che a causa del overhead del protocollo TCP/IP non potrai mai arrivare ad usare la banda al massimo ma arrivi intorno all'80% 90%

Punto 2
Alcuni software sono in grado di effettuare trasferimenti sfruttando processi/thread multipli. In questo modo generare flussi diversi che possono seguire strade diverse e quindi multiple. Questo fa si che questi software indicano come banda usata la somma della banda disponibile di tutte le wan poichè guardano solo la quantità di dati inviata ed il tempo impiegato e restituiscono così la velocità in modo agnostico rispetto al numero di linee utilizzate per il trasferimento ed alla loro reale capacità.

Facciamo un esempio per capirci meglio:
Supponiamo che tu debba trasferire 100 MB e che tu abbia 2 wan
Se il software apre due canali uno su wan1 ed uno su wan2 e trasmette in parallelo 50MB per connessione, va da se che avrai trasferito 100 MB in metà del tempo rispetto a trasferire 100 MB da una connessione sola. In buona sostanza stai sfruttando la possibilità di smembrare il pacchetto in più parti e trasferirle in parallelo su strade diverse.

Questo può funzionare solo se hai client capaci di fare qesta cosa, server che la accettano e dimensioni di pacchetto che ti permettano di ottenere un risultato significativo.
In altre situazioni (Tipicamente protocolli sicuri come https, ftps ecc...) hai invece un effetto devastante perchè se la destinazione si aspetta che i 2 blocchi da 50 MB arrivino tutti dallo stesso IP, ti rigetta parte dei pacchetti ricevuti perchè non riconosciuti come validi.

Ovviamente è una spiegazione semplificata e pertanto un po' bestiale ;D

Se hai voglia di capire meglio come funzionano le reti ti consiglio il libro Reti di Calcolatori di Andrew S. Tanenbaum
========================
pfSenseItaly.com
La risorsa italiana per pfSense

Offline CC88

  • Jr. Member
  • **
  • Posts: 39
  • Karma: +0/-0
    • View Profile
Re: Gateway group per una WAN dopata
« Reply #5 on: October 06, 2017, 03:54:50 am »
Che dire. Grazie per la pazienza e la spiegazione Fabio... e per il tuo tempo a scrivere ovviamente.

Buona giornata.