pfSense Gold Subscription

Author Topic: GW грыппы для 3x WAN  (Read 247 times)

0 Members and 1 Guest are viewing this topic.

Offline chieftech

  • Newbie
  • *
  • Posts: 24
  • Karma: +0/-0
    • View Profile
GW грыппы для 3x WAN
« on: December 04, 2017, 03:02:01 am »
Всем хорошего настроения.

Прошу помощи в разъяснении работы тех самых групп в разделе     System - Routing - Gateway Groups
Я уже давно использую функцию балансировки и Фаиловера, но вопросы возникли когда стало необходимо настроить это всё для 3х WAN.

Для стандартных 2х WAN надо 3 правила. 1 для LB и 2 для FO - и тут у меня вопросы:
Из доков пфсенса я не совсем понял логики. С лоадбалансером всё понятно, а вот что происходит при падении одного gw я непонял.

По моей (не обязательно правильной) логике нужно создать одно правила в котором указать системе последовательность перескока по шлюзам при падении. Но путём эксперимента выяснил что так не работает. Ну тут ладно создал два правила и проблема решена.

А вот как крутить tier если WANов 3? получается нужно создать группы на каждый случай жизни?
То есть: 3 Wan - 6 групп+1 для LB? Или как?

Где вообще об этом можно почитать более подробно?

Offline werter

  • Hero Member
  • *****
  • Posts: 4934
  • Karma: +234/-14
    • View Profile
Re: GW грыппы для 3x WAN
« Reply #1 on: December 04, 2017, 03:21:06 am »
Доброго.
Quote
Для стандартных 2х WAN надо 3 правила. 1 для LB и 2 для FO - и тут у меня вопросы:
Хм. А разве для FO из 2-х ВАНов не хватит установленной галки на Allow def gateway swithching ? Зачем явно создавать еще  и правила, что при падении WAN2 нужно переходить на WAN1 и наоборот ? Такие правила при FO создаются явно, если у WAN-интерфейсов есть еще и важность\приоритет - Tier.

По-хорошему, я бы вообще FO не использовал. Оставил бы только LB - оно и так работает как FO + балансировка. Но нужно потестить, однако. Попробуйте. Только галку на Stiсkly connections поставить + Reset states сделать после изменения правил fw с явным указанием LB в кач-ве gw.
« Last Edit: December 04, 2017, 04:04:45 am by werter »

Offline chieftech

  • Newbie
  • *
  • Posts: 24
  • Karma: +0/-0
    • View Profile
Re: GW грыппы для 3x WAN
« Reply #2 on: December 04, 2017, 03:30:55 am »
Доброго.
Quote
Для стандартных 2х WAN надо 3 правила. 1 для LB и 2 для FO - и тут у меня вопросы:
Хм. А разве для FO из 2-х ВАНов не хватит установленной галки на Allow def gateway swithching ? Зачем явно создавать еще  и правила, что при падении WAN2 нужно переходить на WAN1 и наоборот ? Такие правила при FO создаются явно, если у WAN-интерфейсов есть еще и важность\приоритет - Tier.

По-хорошему, я бы вообще FO не использовал. Оставил бы только LB - оно и так работает как FO + балансировка. Нужно потестить.

Видите ли в моём случае есть еще интерфейс для впн, у которого тоже свой шлюз, и бывало так что падали айпи адреса по которым мониторились WANы, и система с помощью gwswitch назначила ВПН как основной шлюз, что в свою очередь сломало маршрутизацию.

Offline werter

  • Hero Member
  • *****
  • Posts: 4934
  • Karma: +234/-14
    • View Profile
Re: GW грыппы для 3x WAN
« Reply #3 on: December 04, 2017, 05:20:45 am »
Quote
падали айпи адреса по которым мониторились WANы
Покажите скрином что вы мониторите.

Offline chieftech

  • Newbie
  • *
  • Posts: 24
  • Karma: +0/-0
    • View Profile
Re: GW грыппы для 3x WAN
« Reply #4 on: December 04, 2017, 09:53:02 am »
Quote
Покажите скрином что вы мониторите.
Такое впечатление что вы мне не доверяете...
И не удивляйтесь "Как такое возможно", я живу в очень насыщенном событиями месте куда приходит только один магистральный линк и нет конкуренции.
« Last Edit: December 04, 2017, 09:58:00 am by chieftech »

Offline werter

  • Hero Member
  • *****
  • Posts: 4934
  • Karma: +234/-14
    • View Profile
Re: GW грыппы для 3x WAN
« Reply #5 on: December 05, 2017, 04:41:26 am »
Доброго.
Такое впечатление что вы мне не доверяете...
Да я и себе иногда не доверяю - перепроверять приходится. Спросил же к тому, что многие не добавляют в кач-ве Monitoring IP сторонние ресурсы , а мониторят шлюз провайдера, напр., что не верно.

Quote
я живу в очень насыщенном событиями месте куда приходит только один магистральный линк и нет конкуренции.
Вы себе и представить не можете, в каком "очень насыщенном событиями месте" живу я  ;D

Создайте из ваших 3-ех ВАНов LB-группу и используйте ее в правилах fw на ЛАН. Только галку на Stiсkly connections поставить + Reset states сделайте.

Offline chieftech

  • Newbie
  • *
  • Posts: 24
  • Karma: +0/-0
    • View Profile
Re: GW грыппы для 3x WAN
« Reply #6 on: December 05, 2017, 02:39:28 pm »
Quote
Создайте из ваших 3-ех ВАНов LB-группу и используйте ее в правилах fw на ЛАН. Только галку на Stiсkly connections поставить + Reset states сделайте.

Да да, я вник. Немогу пока добраться до места, по удалёнке не хочу эксперементировать от греха подальше. По результатам отпишусь

Offline chieftech

  • Newbie
  • *
  • Posts: 24
  • Karma: +0/-0
    • View Profile
Re: GW грыппы для 3x WAN
« Reply #7 on: December 07, 2017, 12:55:29 am »
Царь доволен. ;D

Всё действительно работает только на одной группе LB.

Работает без галочка Use sticky connections, да и с ней тоже работает. Правда без нее балансит множественные подключения с одного хоста сразу на все 3 шлюза, а с ней только в один.

В правиласх FW естестественно правило на эту группу

В настройках впн нужно выбрать группу LB как интерфейс для подключения. Переконекчивается в случае падения почти мгновенно, вырубал ваны в любых последовательностях.

Спасибо тебе милй человек.

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1711
  • Karma: +216/-2
    • View Profile
Re: GW грыппы для 3x WAN
« Reply #8 on: December 07, 2017, 04:32:52 am »
Работает без галочка Use sticky connections, да и с ней тоже работает
Лучше оставить включенной. Без нее многие сервисы - банки, почты и  т.д и при использовании LB . могут работать неадекватно.

В настройках впн нужно выбрать группу LB как интерфейс для подключения.
Это можно подробнее?

Offline chieftech

  • Newbie
  • *
  • Posts: 24
  • Karma: +0/-0
    • View Profile
Re: GW грыппы для 3x WAN
« Reply #9 on: December 07, 2017, 05:47:19 am »
Quote
Это можно подробнее?

В настройках клиента OpenVPN нужно указать интерфейсом подключения группу Loadbalancing'а, иначе не переконекчивается при падении Default шлюза. Уточняю сразу что в моем случае gateway switching не используется.

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1711
  • Karma: +216/-2
    • View Profile
Re: GW грыппы для 3x WAN
« Reply #10 on: December 07, 2017, 06:04:04 am »
Не предполагал, что создание группы интерфейсов создаст псевдо-интерфейс, доступный для выбора в Open VPN.
Возьму на заметку, спасибо. Я Open VPN как интерфейс не использую.
gateway switching и зачем он нужен мы с вами(?) вроде обсуждали.

Offline werter

  • Hero Member
  • *****
  • Posts: 4934
  • Karma: +234/-14
    • View Profile
Re: GW грыппы для 3x WAN
« Reply #11 on: December 07, 2017, 06:12:15 am »
Доброго.
Супер.

Quote
Не предполагал, что создание группы интерфейсов создаст псевдо-интерфейс, доступный для выбора в Open VPN.
А чего ж не даст-то ? Это ж клиент. А LB-группу мы создали из реальных ВАНов.

Quote
gateway switching и зачем он нужен
Нужен для FO, чтобы явно не создавать FO-группу и у ВАНов "вес" (tier) одинаков.

Offline pigbrother

  • Hero Member
  • *****
  • Posts: 1711
  • Karma: +216/-2
    • View Profile
Re: GW грыппы для 3x WAN
« Reply #12 on: December 07, 2017, 06:19:21 am »
gateway switching и зачем он нужен
дочитаем до конца:
мы с вами(?) вроде обсуждали.
UPD.
Обсуждали именно с chieftech:
https://forum.pfsense.org/index.php?topic=140299.msg766894#msg766894


А чего ж не даст-то ? Это ж клиент. А LB-группу мы создали из реальных ВАНов.
К своему стыду не знал, что создание LB-группы создает не только шлюз, но и интерфейс.
« Last Edit: December 07, 2017, 06:25:34 am by pigbrother »

Offline werter

  • Hero Member
  • *****
  • Posts: 4934
  • Karma: +234/-14
    • View Profile
Re: GW грыппы для 3x WAN
« Reply #13 on: December 07, 2017, 06:25:57 am »
дочитаем до конца:
мы с вами(?) вроде обсуждали.
Поискать ссылку на пост?

Это для chieftech