Z pewnością w wielu firmach, nie tylko informatycznych, z punktu widzenia ciągłości działania biznesu, konieczne jest posiadanie dwóch łącz od niezależnych dostawców tak, aby w przypadku awarii jednego łącza można było nadal korzystać z Internetu bez przerwy w pracy. Wielu administratorów stoi przed wyzwaniem – jak połączyć te dwa łącza w prosty i działający sposób tak, by nie trzeba było przepinać łącz ręcznie.
Istnieje oczywiście bardzo dużo płatnych i komercyjnych rozwiązań do tego celu doskonale działających, ale my dzisiaj skupimy się na rozwiązaniu darmowym – pfSense, którego cykl został zapoczątkowany we wcześniejszych artykułach Władców Sieci.
Dziś pokażę, jak w stosunkowo prosty sposób można spiąć więcej niż jedno łącze i w razie jego awarii przełączać się na drugie. Zakładam, że na starcie mamy już zainstalowany i wstępnie skonfigurowany firewall pfSense z poprzednich artykułów.
Minimalne wymagania do działania Failover Internet:
- Przynajmniej trzy karty sieciowe w serwerze (2x WAN + 1x LAN)
- Dwa niezależne łącza internetowe, które wepniemy do portów WAN i WAN2
1. Konfiguracja pfSense
Kiedy mamy już zainstalowany pfSense lub dołożyliśmy i zainstalowaliśmy dodatkową kartę sieciową, po uruchomieniu ekranu administracyjnego przechodzimy do zakładki “Interfaces”, a następnie “Assignments”.
Pojawił nam się dodatkowy interfejs sieciowy, gotowy do działania.
Klikamy na “Add”.
Klikamy na nową nazwę OPT1.
Zmieniamy nazwę interfejsu na WAN2 i aktywujemy poprzez zaznaczenie checkboxa.
Dodatkowo, jeśli adres jest dedykowany wprowadzamy jego konfigurację. Jeśli jest przydzielany z DHCP, zostawiamy DHCP.
Zapisujemy zmiany i klikamy na Apply.
W konsoli na pfSense powinno pokazać nam się mniej, więcej coś podobnego z aktywowanymi interfejsami.
Z kolei w konsoli administracyjnej Web na Dashboardzie powinniśmy zobaczyć mniej, więcej taki obraz:
2. Uruchomienie Gateway Failover
Aby mechanizm przełączania łącza działał poprawnie, musimy uruchomić sobie grupy bram domyślnych, z których każda będzie wychodzić oddzielnym łączem.
Przechodzimy do zakładki “System” > “Routing”, a następnie na “Gateway Groups”.
Wpisujemy jak na obrazku poniżej:
Zapisujemy, a następnie dodajemy następną bramę.
Ponownie zapisujemy i dodajemy kolejną bramę.
Po zapisaniu aplikujemy zmiany.
Co tu zrobiliśmy?
Na początek utworzyliśmy główną bramę – domyślną i dwie zapasowe, które przejmą ruch jeśli jedna z nich przestanie działać. Innymi słowy jeśli jedno łącze padnie, to druga brama przejmie ruch i przełączy pracowników.
Wracamy na pierwszą zakładkę “System” > “Routing” > “Gateways”
Zaznaczamy jako “Default gateway ipv4” Company network- Dual WAN.
Zapisujemy i aplikujemy.
Warto wyedytować poszczególne bramy i ustawić ręcznie Monitor IP, aby mieć pewność, że monitorujemy właściwy adres. Najlepiej zrobić to do dwóch różnych zewnętrznych IP. Czasem zdarza się tak, że mamy połączenie i potrafimy pingować bramę operatora telekomunikacyjnego, ale poza własną sieć nie mamy już połączenia dlatego pingowanie bramy operatora może nie być najlepszym pomysłem.
3. Sprawdzenie Failover
Możemy po prostu odpiąć kabel od sieci z domyślnej bramy – WAN1 lub zasymulować awarię w pfSense edytując bramę.
Symulujemy awarię.
Zapisujemy, a następnie sprawdzamy status.
Jak widzimy, brama numer 1 leży – sprawdzamy czy Internet działa.
W moim przypadku działa. IP po sprawdzeniu na zewnątrz okazuje się być IP zapasowego łącza, to znaczy, że wszystko jest poprawnie.
Możemy oczywiście zasymulować awarię poprzez odpięcie kabla, odłączenie zasilacza od modemu, routera, ale efekt powinien być podobny jak wyżej do symulowanej awarii.
4. Podsumowanie
Jak widać, prostymi technikami przy pomocy darmowego oprogramowania pfSense możemy uruchomić Failover łącza i na wypadek awarii jednego operatora system powinien automatycznie się przełączyć na łącze zapasowe. Po powrocie głównego łącza oznaczonego jako WAN lub WAN2 system po kilku chwilach powinien przełączyć powrotnie ruch.
Ważne jest odpowiednie ustawienie monitorowanego adresu. Dla niektórych przypadków najbardziej właściwy będzie adres bramy operatora, w innych przypadkach będzie to zewnętrzny adres IP. W ten sam sposób możemy dołożyć kolejną kartę i wirtualny interfejs, dzięki czemu mamy możliwość podłączenia jeszcze jednego łącza zapasowego ustawiając odpowiednie Tier’y w konfiguracji grupy bram.
Zostaw komentarz
Musisz się zalogować lub zarejestrować aby dodać nowy komentarz.