Pfsense/HA/MultiWAN

De TartareFR
Aller à la navigation Aller à la recherche

Vue d'ensemble

Cette configuration permet d'équilibrer la charge pfSense ou basculer le trafic de votre réseau local à plusieurs connexions Internet (WAN). Avec l'équilibrage de charge, le trafic du réseau local est partagé sur une base de tourniquet (round robin) à travers les réseaux WAN disponibles. Avec le basculement, le trafic passe par la connexions (WAN) Internet de plus haute priorité jusqu'à ce qu'il tombe en panne, la suivante est utilisée (toujours par ordre de priorité). pfSense surveille chaque connexion WAN, en utilisant l'adresse IP de la passerelle ou une adresse IP de test, et si la connexion est coupée, il va supprimer dynamiquement l'utilisation de cette connexions Internet, jusqu'à ce que le lien soit rétabli.

Routage Multi WAN

Résumé

Dans la plupart des configurations, il ya seulement trois parties à configurer

  • Ajouter un groupe de passerelle(s) (System > Routing, Groups tab)
  • Utilisez le groupe de passerelle sur les règles LAN du pare-feu
  • Assurez-vous que vous avez au moins un serveur DNS défini pour chaque passerelle WAN sous System > General.

Interfaces

Avant de commencer, assurez-vous que vous avez toutes vos interfaces de type WAN activées. Pour les adresses IP WAN statiques, assurez-vous qu'elles ont toutes une passerelle.

Assurez-vous que vous pouvez pinger la passerelle (ou l'adresse IP de test) de chaque interface pour confirmer que celles-ci sont connectées et fonctionnelles avant de poursuivre. Vous pouvez maintenant voir l'état de ces interfaces dans Status > Gateways. S'ils sont verts, vous devriez être OK.

Passerelles

Important.png
Passerelles WAN
Vérifiez que vous avez déclaré une passerelle pour chaque interface WAN (Check System > Routing, on the Gateways tab) Les adresses IP WAN Statique auront une entrée de passerelle standard (statique), alors que les adresses IP DHCP / PPPoE / etc... auront une passerelle dynamique.

Pour chaque passerelle il ya quelques paramètres qui peuvent changer leur comportement légèrement par rapport à l'utilisation multi-wan. La plupart des gens peuvent laisser les valeurs par défaut, mais d'autres peuvent avoir besoin de les modifier légèrement en fonction de la qualité de leur WAN.

Surveillance IP

Par défaut pfSense ping votre passerelle pour déterminer la qualité du WAN. Dans certains cas, ce n'est pas une mesure exacte. Par exemple, si votre passerelle WAN est en fait un dispositif qui est local pour vous, et que c'est lui qui est connecté à votre de FAI (typiquement un routeur), alors votre liaison WAN réelle pourrait être défaillante mais le ping de la passerelle ne le montrerait jamais.

Vous pouvez spécifier une adresse IP personnalisée afin de contrôler l'adresse qui sera utilisée pour déterminer la qualité du WAN. Vous pouvez utiliser un site Web public, Les DNS public de Google, ou tout serveur sur l'Internet qui répond aux pings. L'inconvénient est que si cette adresse IP n'est pas accessible ou qu'elle n'est pas connectée, votre WAN pourrait être marqué comme défaillant alors qu'il ne l'est pas.

Poids

Par défaut, tous les réseaux étendus de même niveau sont considérés comme égaux lorsque vous faites de l'équilibrage de charge. Si vos réseaux WAN sont de vitesses différentes, le paramètre de poids vous permet de donner une priorité plus importante au lien plus rapide. Si vous aviez une ligne de 50 Mbits et une ligne de 10Mbit vous n'auriez probablement pas envie de les partager également, sinon la ligne de 50Mbit serait sous-employée et la ligne de 10Mbit surchargée. Vous pouvez donner à votre ligne de 50Mbit un poids de 5, de sorte que vous obtenez un ratio de 5:1 afin de préférer l'utilisation du WAN plus rapide.

Perte / latence seuils

Chaque WAN est différent dans la façon dont il fonctionne "normalement". Certains réseaux étendus ont une faible latence et sans perte de paquet et sont parfaits, d'autres fonctionnent normalement, même quand il y a des pertes de paquets ou une latence plus élevée. Vous pouvez utiliser ces champs pour composer des valeurs de liaison approprié pour ce qui est en fait un état d'alarme pour vos passerelles WAN. Sur certaines lignes de câbles à pertes, l'augmentation du pourcentage de perte de 20 ou plus peut-être nécessaire. Sur les DSL lentes ou liaisons par satellite, quelques centaines de ms de latence n'est pas anormal. Vous devez regarder vos propres graphiques de qualité pour avoir une idée de ce qui est bon / normal pour vos WAN.

Groupes de passerelle

Les Groupes de passerelle (System > Routing, Groups tab) sont exactement ce que le nom indique. Ils regroupent les passerelles pour un fonctionnement coordonné. Ils peuvent faire de l'équilibrage de charge, du basculement, ou un mélange des deux.

Une pratique courante pour une configuration à deux WAN est de faire trois groupes de passerelles pour une configuration multi-wan: un pour l'équilibrage de charge, et deux pour le basculement (chacun préférant un WAN). Cela vous permettra de mettre sélectivement le trafic sur chaque WAN ainsi que l'équilibre de la charge.

Paliers

Dans un groupe de passerelle, vous assignez à chaque passerelle un niveau de palier. Les numéros de palier les plus faibles sont préférés. Si deux passerelles ont le même niveau, il y aura equilibrage de charge. S'ils sont sur différents niveaux, le traffic basculera sur la passerelle de plus faible palier. Si le niveau est réglé sur "Jamais", la passerelle n'est pas considérée comme faisant partie de ce groupe.

Niveau de déclenchement

  • Member Down: Déclenché lorsque le moniteur IP a 100% de perte de paquets.
  • Perte de paquets: Déclenché uniquement quand il y a une perte de paquets vers une passerelle supérieure au seuil défini.
  • Latence haute: Déclenché seulement quand il y a un temps de latence (retard) pour une passerelle supérieur au seuil défini.
  • Perte de paquets ou une latence élevée: Déclenché pour l'une des conditions ci-dessus.

l'équilibrage de charge

Lorsque deux passerelles sont sur le même palier, la charge est équilibrée. Cela signifie que pour chaque connexion, le trafic est acheminé sur chaque WAN de manière tournante (round-robin). Si une passerelle sur le même niveau tombe, elle est retirée de l'utilisation et les autres passerelles de même niveau continuent de fonctionner normalement.

Basculement

Lorsque deux passerelles sont à différents paliers, la passerelle de palier inférieur est préférée. Si une passerelle de niveau inférieur tombe, elle est retiré de l'utilisation et la passerelle de niveau immédiatement supérieur est utilisée.

Combinaisons

Grace au système de niveau, vous pouvez avoir n'importe quel nombre de combinaisons d'équilibrage de charge et de basculement. La seule limite est qu'il n'y a que 5 niveaux de profondeur.

Règles de pare-feu

La définition des groupes de passerelle n'est qu'une partie de l'histoire. Vous devez affecter le trafic à ces passerelles en modifiant les règles du pare-feu.

Dans la fenêtre Firewall > Rules Règlement, dans l'onglet de l'interface interne, vous pouvez spécifier le groupe de passerelle à utiliser, et vous pouvez aussi soit modifier vos règles existantes pour ajouter la configuration de la passerelle à utiliser, soit ajouter une nouvelle règle qui corresponde seulement à une partie du trafic que vous voulez diriger vers le groupe de la passerelle. Rappelez-vous que les règles sont traitées de haut en bas, et que le traitement s'arrête dès qu'une règle correspond.

Vous pouvez diriger une partie du trafic vers certain WAN avec un groupe de basculement, envoyer une autre partie sur un autre WAN, et laisser la règle fourre-tout faire l'équilibrage de charge.

Politique de non-routage dynamique

Quand une règle de pare-feu dirige le trafic dans la passerelle, il contourne la table de routage normal du pare-feu. La politique de non-routage dynamique (Policy Route Negation) est juste une ou plusieurs règles qui acheminent le trafic à d'autres réseaux locaux ou VPN-connectés et qui ne disposent pas d'un accès à la passerelle. En ne définissant pas une passerelle sur ces règles, il contourne le groupe de passerelles et utilise la table de routage du pare-feu. Ces règles devraient être prioritaires à l'ensemble de règles - ou au moins prioritaires aux règles d'utilisation des passerelles.

Considérations DNS

Vous devez avoir au moins un serveur DNS accessible pour chaque WAN. Ceci peut être accompli par l'édition de vos serveurs DNS dans System > General et affecter une interface pour chaque serveur DNS. Assurez-vous que le serveur DNS choisi pour un WAN est opérationnel (c'est à dire qu'il est public ou qu'il appartient à votre fournisseur de services Internet). Le service DNS forwarder du système interroge tous les serveurs DNS en même temps, il n'est donc pas affecté par une panne d'un WAN.

Si vous avez des serveurs DNS codées en dur sur les clients, cette limitation n'est pas pertinente, cependant, les services sur le pare-feu lui-même auront toujours besoin de DNS et pourraient devenir lent ou planter en attendant qu'un serveur DNS soit accessible.

Dépannage

  • Vérifier l'état de la passerelle sur le tableau de bord (Dashboard) ou Status > Gateways
  • Si des défaillances surviennent trop souvent, consultez les graphiques de qualité et régler la perte de paquets d'une passerelle et / ou des seuils de latence en conséquence.
  • Si le trafic local ou VPN échoue, vérifiez que vous avez des règles de non-routage dynamique. Elles sont automatiques pour les réseaux de routes statiques et IPsec mais pas pour OpenVPN ou d'autres types.
  • Si le trafic utilise toujours la passerelle à la place du WAN par défaut, vérifiez vos règles pare-feu pour s'assurer qu'elles correspondent réellement à une règle avec une passerelle définie.
Récupérée de « https://wikiold.home.tartarefr.eu/index.php?title=Pfsense/HA/MultiWAN&oldid=2806 »