Netgate m1n1wall

Author Topic: Ping Failover  (Read 1040 times)

0 Members and 1 Guest are viewing this topic.

Offline Prafa

  • Jr. Member
  • **
  • Posts: 58
  • Karma: +0/-0
    • View Profile
Ping Failover
« on: November 17, 2011, 08:20:37 am »
Prezados
Estou com uma dúvida que acredito que possam me ajudar.

Estou tentando configurar o failover aqui na minha empresa, já postei algumas vezes aqui, já li o manual, já vi todos os docs do pfsense e até agora não consegui fazer funcionar. Mas enfim a minha dúvida é outra.

Pelo que eu li, para se fazer a configuração do failover precisamos que cada gateway ping um ip monitor, no caso um dns.
Só que por padrão o PFSENSE vem com o ping bloqueado.
Criei uma regra que habilita o protocolo icmp e sai pelo gateway default. Que no caso é minha WAN1
Ou seja, se eu estiver navegando pela WAN2 o ping continuará saindo pela WAN1.

Acredito que as minhas configurações de failover não estão funcionando por causa disso, porque quando derrubo a wan2 por exemplo a WAN1 continua pingando o endereço, assim no status do load balancer diz que o link caiu, mas mesmo assim o endereço ip continua pingando.

Alguem tem uma luz do que está certo ou errado?

Att,

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 9995
  • Karma: +3/-0
    • View Profile
Re: Ping Failover
« Reply #1 on: November 17, 2011, 11:11:10 am »
Paulo,

Por padrão, o pfsense consegue sair para qualquer lugar. As regras de wan e lan não tem efeito sobre os pacotes que saem da localhost do pfsense.
Se quiser limitar  o que o pfsense pode fazer na internet, voce precisa criar as regras em floating rules.

O procedimento de teste de failover já foi descrito aqui  no forum.

resumindo para você fica assim:

  • escolha dois ips remotos que aceitem ping(google, outra rede conhecida, uol,etc)
  • va em system-> routing -> routing e crie uma rota estatica com os ips escolhidos forçando o seu respectivo gateway de saida
  • volte em system -> routing -> gateway e configure o ip de monitoramento escolhido no passo 1


Offline Prafa

  • Jr. Member
  • **
  • Posts: 58
  • Karma: +0/-0
    • View Profile
Re: Ping Failover
« Reply #2 on: November 17, 2011, 11:41:24 am »
Voce poderia me explicar direito quando voce diz "as regras de wan e lan nao tem efeito sobre os pacotes que saem da localhost do pfsense"

Offline marcelloc

  • Moderator
  • Hero Member
  • *****
  • Posts: 9995
  • Karma: +3/-0
    • View Profile
Re: Ping Failover
« Reply #3 on: November 17, 2011, 03:07:05 pm »
Voce poderia me explicar direito quando voce diz "as regras de wan e lan nao tem efeito sobre os pacotes que saem da localhost do pfsense"

O pfsense é fum firewall statefull. Toda regra criada nele tem que estar na interface onde a comunicação inicia.
Exemplos:
  • Para impedir que seus usuários acessem sites https, voce cria a regra de bloqueio na LAN
  • Para impedir que acessem via internet sua interface do firewall, voce cria a regra na WAN
  • Para impedir que o pfsense(ou qualquer pacote dele) acesse algum recurso, a regra precisa ser aplicada nas 'floating rules', uma vez que o pfsense nao passará pela LAN para começar a comunicação