Multi WAN con pfSense - Parte 2
Nella prima parte abbiamo visto le motivazioni che possono spingere ad implementare una configurazione multi wan, quali problemi può risolvere e quali rimangono irrisolti. In quest'articolo vedremo la configurazione di base per iniziare ad usare il multi wan con il nostro firewall.
Il numero di provider può essere aumentato senza problemi così come si
possono utilizzare tipologie di connettività differenti (ADSL, HDSL, UTMS, WIMAX, WIFI ecc...). L'aggregazione di più connessioni sta
diventando sempre più diffusa, sono molte le aziende che decidono di
affidare la propria connettività a iù linee a basso costo aggregate per
migliorarne l'affidabilità e le prestazioni.
Nella nostra configurazione supporremo di utilizzare due provider:
Provider A con IP pubblico 1.2.3.4 assegnato all'interfaccia Wan e con default gateway 1.2.3.5
Provider B con IP pubblico 5.6.7.8 assegnato all'interfaccia Opt1 e con default gateway 5.6.7.9
La nostra rete interna avrà com e classe la 192.168.0.0/24 e l'IP di pfSense sarà 192.168.0.1
Come prima cosa configuriamo l'interfaccia WAN:
- Selezioniamo Interfaces > WAN
- Clicchiamo su Enable
- Impostiamo Type = Static
- Impostiamo IP Adresses = 1.2.3.4/28
- Clicchiamo su Gateway add a new one
- Creiamo il gateway GW_WAN
- Impostiamo come gateway l'IP 1.2.3.5
Ora configuriamo l'interfaccia OPT1:
- Selezioniamo Interfaces > OPT1
- Clicchiamo su Enable
- Impostiamo Type = Static
- Impostiamo IP Adresses = 5.6.7.8/28
- Clicchiamo su Gateway add a new one
- Creiamo il gateway GW_OPT1
- Impostiamo come gateway l'IP 5.6.7.9
A questo punto abbiamo configurato i due gateway ma non siamo ancora pronti per sfruttarne le potenzialità. Il passo successivo è creare i gruppi (groups) che verranno utilizzati nelle regole (roules) di firewall per smistare il traffico.
- Selezioniamo System > Routing > Groups
- Aggiungiamo un nuovo gruppo che servirà a bilanciare il traffico
- Impostiamo come Group Name = LoadBalancer
- Assegnamo a GW_WAN il Tier 1
- Assegnamo a GW_OPT1 il Tier 1In questo modo abbiamo attivato il bilanciamento Round Robin delle connessioni sulle due interfacce.
- Selezioniamo System > Routing > Groups
- Aggiungiamo un nuovo gruppo che servirà a bilanciare il traffico
- Impostiamo come Group Name =WAN_Fault
- Assegnamo a GW_WAN il Tier 1
- Assegnamo a GW_OPT1 il Tier 2In questo modo abbiamo posto il gateway GW_OPT1 come backup di GW_WAN
- Selezioniamo System > Routing > Groups
- Aggiungiamo un nuovo gruppo che servirà a bilanciare il traffico
- Impostiamo come Group Name =OPT1_Fault
- Assegnamo a GW_WAN il Tier 2
- Assegnamo a GW_OPT1 il Tier 1In questo modo abbiamo posto il gateway GW_WAN come backup di GW_OPT1
Ora siamo pronti per utilizzare i gruppi appena realizzati per bilanciare o assicurare il traffico in uscita.
Per effettuare una prima prova possiamo accedere a Firewall > Rules > LAN ed aggiungere la regola di default come riportato di seguito:
- Protocol = Any
- Source = Any
- Destination = Any
- Gateway = LoadBalancer
In questo modo tutto il traffico in uscita verrà bilanciato tra le due interfacce.
A questo punto la configurazione di base è completata. Rimangono ancora da vedere una serie di impostazioni necessarie per far funzionare tutto in modo ottimale e senza incappare in fastidiosi comportamenti. Nel prossimo articolo vedremo come configurare al meglio i monitor delle nostre connessioni e come impostare le nostre regole di firewall per sfruttare a pieno le connessioni.
6 commenti:
Complimenti per la guida, ma una volta impostato il gateway con loadbalancer nelle regole del firewall della LAN, se una wan è senza linea, non riesco piu a navigare.Mi puoi consigliare, grazie.
Ciao,
sei sicuro che il traffico non venga processato da qualche regola prima?
Il Loadbalancer in caso di fault di una delle linee passa tutto il traffico all'altra a patto di aver configurato correttamente il monitor della connessione e le regole di firewall.
Ciao
Ciao a tutti, é un anno che ho installato pfsense su un pc con 6 ethernet, 5 sono per le wan e 1 per lan. Tutto molto bene velocissimo su internet e non mi si é mai inchiodato, ho solo un problema, pfsense lavora in rr e se provo ad entrare nella mail di alice sono guai, sappiamo che mail alice autentica il cliente per ip e non con la porta 443, ragionandoci un po potrei prendere gli ip di alice mail e farli uscire da un solo gateway, e quanti altri siti possono utilizzare lo stesso sistema e non lo sappiamo? Esiste una regola che evita questo tipo di problema? In piu sto verificando che anche la porta 443 negli ultimi tempi inizia ad avere molto traffico come la porta 80 solo che non è possibile utilizzarla in multiwan, come si risolve tutto questo?
Ciao,
come ho indicato nell'articolo il problema si ha con alcuni tipi di protocolli che stabiliscono conali sicuri quindi i più papabili sono:
https (che come abbiamo visto corrisponde alla porta 443), pop3s, smtps, imaps e così via.
Questi protocolli per definizione stabilendo un canale sicuro non ammettono che ad un certo punto i pacchetti giungano da un ip differente da quello con cui si è stabilita la connessione.
La soluzione quindi non esiste o meglio, puoi suddividere manualmente i protocolli sulle diverse lan. Ciao Fabio
Infatti non è il problema 433 pop3s ecc. Ma alcuni siti autenticano il client utilizzando porta 80 ma con un solo ip di accesso. Come ho scritto sopra mail alice si comporta cosi porta 80 ma richiesta da un solo ip altrimenti mi buttafuori. Antonio
salve
devo implementare una seconda wan sulla mia linea usando pfsense.
Il mio dubbio è, come faccio a configurare la scheda di rete del firewall assegnandoli l'ip che voglio usare per raggiungere il router?
Posta un commento