MultiWan

Contenidos 1 Definicin 1.1 Tipos de "pool" 1.2 Ventajas de "MultiWan Routing" 1.3 Desventajas de "MultiWan Routing" 1.4 Advertencias 1.5 Diagramas de funcionamiento 1.6 Configuracin "Load Balacing & Failover" 1.6.1 Configuracin de RED 1.6.2 Sticky Connections 1.7 Creando "Pools" 1.7.1 Seleccin de IP Monitor 1.8 Comprobacin de "Load Balancer" 1.9 Configurando las Reglas 1.9.1 Troubleshooting FTP.

Definicin
"MultiWan Routing" es sencillamente el encaminamiento del trfico de la red local (LAN), distribuyndolo a travs de mltiples enlaces hacia INTERNET (WANs). Un error comn es creer que es "multiplexing" como el caso de 128K RDSI (combinando 2 canales 64K). Para la distribucin del trfico en MultiWAN se utiliza el concepto de "Gateways Pools" o "Conjunto de Puertas de Enlace", que bsicamente es la asociacin de dos o ms puertas de enlace a INTERNET en una entidad conocida como "Cola".

Tipos de "pool"
Load Balance pool:Esta configuaracin encamina todo el trfico de la LAN a la manera "round Robin" "pool por los distintos enlaces que componen el "pool". Failover pool: Esta configuaracin encamina todo el trfico de la LAN por uno de los enlaces que componen el "pool" definido como "preferido", y en caso de que este falle reencaminar todo el trfico por el otro enlace.

Ventajas de "MultiWan Routing"

En primer lugar abordaremos las ventajas de una configuracin "MultiWan". Que podemos decir que las ms importantes son 2, Ancho de banda y "failover". Mediante el balanceo de tus enlaces WAN dispondrs de un mayor ancho de banda disponible, pero como se ha dicho anteriormente no es lo mismo que "multiplexing", una descarga individual NO ser el doble de rapida, no obstante si iniciamos una segunda descarga, esta usar el siguiente enlace y tendremos as mayor ancho de banda.

La otra gran ventaja es el "failover". Si un enlace se cae, se reencamina todo el trfico por el otro enlace WAN, esto minimiza el "downtime", y es por si sola una razn de peso para considerar "MultiWan routing". Y por ltimo, otra ventaja es el ahorro de espacio y energia consolidando router/firewall en un equipo nico.

Desventajas de "MultiWan Routing"

Algunas desventajas de "MultiWan routing" no son realmente desventajas. Primero lo ya mencionado con el tema del ancho de banda, es decir, no combinars los dos anchos de banda, sino que necesitaras escenarios de mltiples descargas para tener mxima velocidad, mientras que navegando como usuario nico el beneficio puede no ser el que esperas. No obstante si tenemos en cuenta en ejemplo de empresa con varios cientos de usuarios entonces "MultiWan routing" se convierte en mucho ms interesante. La gran desventaja se presenta en el caso de algunos servidores FTP/E-mail y algunos sitios HTTPS. Siempre que sea importante que la IP saliente permanezca esttica o se necesite resolucin inversa de DNS. Por ejemplo algunos sitios FTP esperan que los comandos procedan desde la misma direccin IP desde la que se hizo el logon inicial, si estas alternando conexiones entre gateways esta direccin puede cambiar. HTTPS tiene restricciones de seguridad parecidas. Si tenemos un servidor SMTP sabrs que muchos servidores hacen una resolucin inversa cuando te conectas para entregarles correo, si tu registro DNS apunta a la IP del enlace A y la conexin se hizo desde el enlace B tu correo podra no entregarse. Estas desventajas nos llevan directamente a "policy based routing" en "MultiWan". Para esto crearemos reglas de firewall que restringen el flujo de estos protocolos sobre enlaces determinados. El reto de "policy based routing" es comprender tus propios requisitos, Podras querer por ejemplo segmentar tu LAN y enviar ciertos segmentos sobre un enlace en particular (dificil si usas un proxy server) o puedes querer usar multiples IPs pblicas para separar funciones.

Advertencias
La mayoria de los "Packages" de pfSense no soportan una configuracin de "Multiwan"

Diagramas de funcionamiento
.-. ,-( _)-. .-(_ (_ )-. (__ INTERNET _) _.--(______)-: . __,.-'' `. .-' `. ISP Provided IP ISP Provided IP ----| X | | X | ----Router1-WAN1 Router2-WAN2 192.168.0.254 192.168.2.254 \ / \__ / \ / 192.168.0.2 192.168.2.2 \_________/ |_|__|__|_| |___|__|__| FW |_|__|__|_| | 192.168.1.1 | | | LAN: 192.168.1.0/24 |---------------|-----------------|| | | 192.168.1.2 192.168.1.3 _|__ +-----------+ +-----------+ ||""|| | Servidor1 | | Servidor2 | PCs ||__|| | | | | [ -=.] +-----------+ +-----------+ ====== Este diagrama muestra como varios "Pools" y gateways estan relacionados, y como se pueden usar:

Adaptacin del documento oficial MultiwanVersion1.2

Configuracin "Load Balacing & Failover"

Configuracin de RED
Asumiendo una configuracin de red como se observa en los diagramas superiores: LAN: 192.168.1.0/24 WAN1: 192.168.0.1/24 WAN2: 192.168.2.1/24 El servidor DHCP , y el "ftp helper address" estarn deshabilitados en las interfaces WAN, y no as en la LAN. Primary DNS server o un servidor DNS del proveedor de la WAN1. Secondary DNS server o un servidor DNS del proveedor de la WAN2.

Sticky Connections
pfSense Versin 1.2 incluye "Sticky connections" o conexiones persistentes, que usaremos como parte de la instalacion de MultiWan. Cuando se habilita el uso de "Sticky connections", los equipos que establecen una conexin a travs del firewall crean un estado(socket origen -> socket destino), y "Sticky connections" se encarga de que se mantenga la conexin por el mismo enlace WAN que se inicio. Evitando as problemas con algunos protocolos como https, ftp, que tienen problemas si en la comunicacion cambia el socket de origen. Lo activaremos en System -> Advanced

Creando "Pools"
Crearemos 3 pools. LoadBalance - usada para compartir todos los accesos hacia el exterior a la manera "round robin" mientras ambas conexiones estan disponibles. Wan1FailoverWan2 - usa Wan1. Cuando el enlace est caido -> Todo el trafico usar Wan2. Wan2FailoverWan1 - usa Wan2. Cuando el enlace est caido -> Todo el trafico usar Wan1.

Seleccin de IP Monitor
pfSense monitoriza cada enlace WAN mediante "ping" a la IP Monitor que especifiques. Si el "ping" falla, el enlace se marca como "down" y se usar la configuracin apropiada de "failover" (realmente si el "ping" falla, se reintentar unas cuantas veces para estar seguros, evitando falsos errores). Una buena eleccin seria usar los servidores DNS del ISP (1 de cada ISP). Mediante el GUI es muy facil seleccionarlos despus durante la configuracin de los "pools". Otra eleccin podra ser el "default gateway" de tu Router/modem (Siempre que permita el "ping"), el servidor Webmail del ISP, o una ruta en la red del ISP. Nota: es buena prctica definir una ruta esttica para alcanzar cada IP Monitor por su correcto enlace WAN. Por ejemplo para el caso de que vayamos a definir los servidores DNS del proveedor Telfonica como IP monitor: Telefnica 194.179.1.100 minerva.ttd.net -> DNS1 Telefnica 194.179.1.101 artemis.ttd.net -> DNS2 En SYTEM -> Static Routes definimos dos rutas:

En pfsense GUI Services -> Load Balancer configuraremos los tres "Pools"

Nota: para cada "pool" hay que configurar 2 monitores. Crea un nuevo pool Name:LoadBalance Behavior:Load Balancing Monitor IP:DNS Server 1 Interface Name:WAN click add to pool Monitor IP:DNS Server 2 Interface Name:OPT1wan2 click add to pool Save

Crea un nuevo pool Name:Wan1FailoverWan2

Behavior:Load Balancing Monitor IP:DNS Server 1 Interface Name:WAN click add to pool Monitor IP:DNS Server 2 Interface Name:OPT1wan2 click add to pool Save

Crea un nuevo pool Name:Wan2FailoverWan1 Behavior:Failover Monitor IP:DNS Server 2 Interface Name:OPT1wan2 click add to pool Monitor IP:DNS Server 1 Interface Name:WAN click add to pool Save

Comprobacin de "Load Balancer"

En Status -> Load Balancer

Configurando las Reglas

Lo primero de todo crearemos un alias que contenga todas las Redes de nuestra organizacin:

Crearemos una regla en la interfaz LAN para que el trfico desde las "RedesOrganizacion" hacia "RedesOrganizacion", utilice la tabla de rutas del sistema, es decir, el gateway por defecto.

Troubleshooting FTP.
http://devwiki.pfsense.org/FTPTroubleShooting Lo primero de todo, FTP solo funcionar en WAN1. Adems actualmente no funciona en load balancing situations aunque el FTP helper este activado.

1. Asegurate que FTP helper no esta "disabled" para la Interface LAN. 2. Si utilizas un conjunto de reglas para multiple-wans asegurate que permites trafico hacia 127.0.0.1 / ports 8000-8030. Esta regla deber estar la primera en "LAN rules".