lunedì 1 ottobre 2012

Multi WAN con pfSense - Parte 2

Nella prima parte abbiamo visto le motivazioni che possono spingere ad implementare una configurazione multi wan, quali problemi può risolvere e quali rimangono irrisolti. In quest'articolo vedremo la configurazione di base per iniziare ad usare il multi wan con il nostro firewall.

Il numero di provider può essere aumentato senza problemi così come si possono utilizzare tipologie di connettività differenti (ADSL, HDSL, UTMS, WIMAX, WIFI ecc...). L'aggregazione di più connessioni sta diventando sempre più diffusa, sono molte le aziende che decidono di affidare la propria connettività a iù linee a basso costo aggregate per migliorarne l'affidabilità e le prestazioni.

Nella nostra configurazione supporremo di utilizzare due provider:
Provider A con IP pubblico 1.2.3.4 assegnato all'interfaccia Wan e con default gateway 1.2.3.5
Provider B con IP pubblico 5.6.7.8 assegnato all'interfaccia Opt1 e con default gateway 5.6.7.9
La nostra rete interna avrà com e classe la 192.168.0.0/24 e l'IP di pfSense sarà 192.168.0.1

Come prima cosa configuriamo l'interfaccia WAN:
  • Selezioniamo Interfaces > WAN
  • Clicchiamo su Enable
  • Impostiamo Type = Static
  • Impostiamo IP Adresses = 1.2.3.4/28
  • Clicchiamo su Gateway add a new one
  • Creiamo il gateway GW_WAN
  • Impostiamo come gateway l'IP 1.2.3.5
Ora configuriamo l'interfaccia OPT1:
  • Selezioniamo Interfaces > OPT1
  • Clicchiamo su Enable
  • Impostiamo Type = Static
  • Impostiamo IP Adresses = 5.6.7.8/28
  • Clicchiamo su Gateway add a new one
  • Creiamo il gateway GW_OPT1
  • Impostiamo come gateway l'IP 5.6.7.9
A questo punto abbiamo configurato i due gateway ma non siamo ancora pronti per sfruttarne le potenzialità. Il passo successivo è creare i gruppi (groups) che verranno utilizzati nelle regole (roules) di firewall per smistare il traffico.
  • Selezioniamo System > Routing > Groups
  • Aggiungiamo un nuovo gruppo che servirà a bilanciare il traffico
  • Impostiamo come Group Name = LoadBalancer
  • Assegnamo a GW_WAN il Tier 1
  • Assegnamo a GW_OPT1 il Tier 1
    In questo modo abbiamo attivato il bilanciamento Round Robin delle connessioni sulle due interfacce.
Ora creiamo due nuovi gruppi per gestire la fault tolerance

  • Selezioniamo System > Routing > Groups
  • Aggiungiamo un nuovo gruppo che servirà a bilanciare il traffico
  • Impostiamo come Group Name =WAN_Fault
  • Assegnamo a GW_WAN il Tier 1
  • Assegnamo a GW_OPT1 il Tier 2In questo modo abbiamo posto il gateway GW_OPT1 come backup di GW_WAN

  • Selezioniamo System > Routing > Groups
  • Aggiungiamo un nuovo gruppo che servirà a bilanciare il traffico
  • Impostiamo come Group Name =OPT1_Fault
  • Assegnamo a GW_WAN il Tier 2
  • Assegnamo a GW_OPT1 il Tier 1In questo modo abbiamo posto il gateway GW_WAN come backup di GW_OPT1
Ora siamo pronti per utilizzare i gruppi appena realizzati per bilanciare o assicurare il traffico in uscita.

Per effettuare una prima prova possiamo accedere a Firewall > Rules > LAN ed aggiungere la regola di default come riportato di seguito:
  • Protocol = Any
  • Source = Any
  • Destination = Any
  • Gateway = LoadBalancer
In questo modo tutto il traffico in uscita verrà bilanciato tra le due interfacce.
A questo punto la configurazione di base è completata. Rimangono ancora da vedere una serie di impostazioni necessarie per far funzionare tutto in modo ottimale e senza incappare in fastidiosi comportamenti. Nel prossimo articolo vedremo come configurare al meglio i monitor delle nostre connessioni e come impostare le nostre regole di firewall per sfruttare a pieno le connessioni.

5 commenti :

Anonimo ha detto...

Complimenti per la guida, ma una volta impostato il gateway con loadbalancer nelle regole del firewall della LAN, se una wan è senza linea, non riesco piu a navigare.Mi puoi consigliare, grazie.

Fabio Viganò ha detto...

Ciao,
sei sicuro che il traffico non venga processato da qualche regola prima?
Il Loadbalancer in caso di fault di una delle linee passa tutto il traffico all'altra a patto di aver configurato correttamente il monitor della connessione e le regole di firewall.
Ciao

Anonimo ha detto...

Ciao a tutti, é un anno che ho installato pfsense su un pc con 6 ethernet, 5 sono per le wan e 1 per lan. Tutto molto bene velocissimo su internet e non mi si é mai inchiodato, ho solo un problema, pfsense lavora in rr e se provo ad entrare nella mail di alice sono guai, sappiamo che mail alice autentica il cliente per ip e non con la porta 443, ragionandoci un po potrei prendere gli ip di alice mail e farli uscire da un solo gateway, e quanti altri siti possono utilizzare lo stesso sistema e non lo sappiamo? Esiste una regola che evita questo tipo di problema? In piu sto verificando che anche la porta 443 negli ultimi tempi inizia ad avere molto traffico come la porta 80 solo che non è possibile utilizzarla in multiwan, come si risolve tutto questo?

Fabio Viganò ha detto...

Ciao,
come ho indicato nell'articolo il problema si ha con alcuni tipi di protocolli che stabiliscono conali sicuri quindi i più papabili sono:
https (che come abbiamo visto corrisponde alla porta 443), pop3s, smtps, imaps e così via.
Questi protocolli per definizione stabilendo un canale sicuro non ammettono che ad un certo punto i pacchetti giungano da un ip differente da quello con cui si è stabilita la connessione.
La soluzione quindi non esiste o meglio, puoi suddividere manualmente i protocolli sulle diverse lan. Ciao Fabio

Anonimo ha detto...

Infatti non è il problema 433 pop3s ecc. Ma alcuni siti autenticano il client utilizzando porta 80 ma con un solo ip di accesso. Come ho scritto sopra mail alice si comporta cosi porta 80 ma richiesta da un solo ip altrimenti mi buttafuori. Antonio