pfSense: failover e load balancing su doppia WAN
pfSense è un’ottima distribuzione firewall/router basata su FreeBSD.
Un potentissimo strumento con cui ad esempio avendo due connessioni ad internet diverse ( WAN ) è possibile creare una struttura di connettività ridondante ( failover ) o bilanciamento del carico ( load balancing ).
Nota: questa non è una guida su come installare pfSense, si presuppone che sia già installato con la LAN e le due WAN già assegnate alle relative interfacce di rete.
Nota: se non si riesce a navigare verificare in ‘Interfaces’ che la ‘LAN’ sia senza gateway, e che le due ‘WAN’ abbiano i rispettivi gateway assegnati.
Bilanciamento del carico ( load balancing )
Chiamiamo WAN1 e WAN2 le due connessioni ( in questo esempio si presuppone che arrivino via cavo ethernet dai due router degli ISP ).
Si entra nella GUI di pfSense e si controlla che le due interfacce WAN siano abilitate e che abbiano i flag ‘Block private network’ e ‘Block bogon network’ disattivati ( o che siano configurati secondo i parametri dei propri ISP ).
Per entrambe le WAN occorre innanzitutto impostare un IP per il monitoraggio esterno della linea, quindi si va in ‘System’, ‘Routing’ e sotto ‘Gateways’ se mancano si creano i due gateway delle rispettive WAN, ad ognuna serve poi aggiungere un IP esterno alla voce ‘Monitor IP’ ( ad esempio i DNS di Google, 8.8.8.8 per una e 8.8.4.4 per l’altra o qualsiasi altro IP che abbia alte percentuali di raggiungibilità ), aprendo in seguito le opzioni avanzate si va a mettere un valore basso alla voce ‘Down’ ad esempio 3 ( sono i secondi di inattività che devono passare prima che una connessione venga considerata inattiva ).
Ora nella scheda ‘Groups’ (sempre in ‘System’ / ‘Routing’) si crea un nuovo gruppo di gateway per il bilanciamento del carico, chiamiamolo ‘LoadBalancing’, si associa quindi ad entambi i gateway lo stesso canale, ad esempio Tier1.
Ora si deve impostare la regola al firewall, si apre ‘Firewall’, ‘Rules’, ‘LAN’, si sceglie la regola generica della LAN (se manca ne va creata una), si aprono le opzioni avanzate e alla voce ‘Gateway’ si associa il gruppo ‘LoadBalancing’.
Salvando e applicando si è impostato il bilanciamento di carico.
Per verificare lo stato dei gateway si va su ‘Status’, ‘Gateways’.
Ridondanza delle connessioni ( failover )
Per impostare la ridondanza ( failover ) si torna al menu ‘System’, ‘Routing’.
Alla voce ‘Groups’ si devono creare due nuovi gruppi, chiamiamoli FailoverWAN1 e FailoverWAN2 e questa volta assegnare canali separati alle due WAN in maniera inversa, ovvero, nel FailoverWAN1 si imposta Tier1 alla WAN1 e Tier2 alla WAN2, mentre nel FailoverWAN2 si imposta Tier2 alla WAN1 e Tier1 alla WAN2.
Si torna alle opzioni del firewall ( ‘Firewall’, ‘Rules’, ‘LAN’ ) e si aggiungono due nuove regole per i due failover.
Quindi nuova regola, interfaccia ‘LAN’, protocollo ‘any’, sorgente ‘LAN net’, nelle opzioni avanzate come gateway va impostato FailoverWAN1 per la prima regola e FailoverWAN2 per la seconda regola.
Si applica, si salva e anche la ridondanza delle connessioni è abilitata.