II. Triển khai mô hình cân bằng tải đường WAN
3. Cấu hình cân bằng tải đường WAN trên máy pfsense
3.3 Sử dụng Gateway Group trong rules firewall của interface LAN
Xác định các Gateway Group chỉ là một phần của bài viết này. Chúng ta phải chỉnh định lưu lượng truy cập đến các gateway bằng cách thiết lập các rule trong firewall bằng cách vào Firewall Rules, chọn tab LAN.
Mặc định ở pfSense2 có 2 rule được tạo sẵn, 1 rule có Description là Anti- Lockout Rule để quy định cho phép các port được kết nối từ ngoài internet vào trong LAN (cho phép 20,80,443). Và rule có Decription là Default allow LAN to any rule, rule này để cho phép các máy trong LAN truy cập ra ngoài.
Tiến hành thêm 3 Rule sử dụng tương ứng 3 Gateway Group đã tạo khi trước.
Tạo rules cân bằng tải:
GVHD: Ngô Văn Công Page 108
Hình 5-41 Chọn Gateways Load Balancing
Tạo rules dự phòng: khi đường truyền WAN trục trặc, chuyển toàn bộ lưu lượng sang OPT1.
GVHD: Ngô Văn Công Page 109
Hình 5-43 Chọn Gateways WANFailToOPT1
Tạo rules dự phòng: khi đường truyền OPT1 trục trặc, chuyển toàn bộ lưu lượng sang WAN.
GVHD: Ngô Văn Công Page 110
Hình 5-45Chọn Gateways OPT1FailToWAN
Hoàn tất các thao tác trên là bạn đã hoàn tất thiết lập dịch vụ cân bằng tải trên hai đường WAN. Tuy nhiên, bạn sẽ gặp phải khó khăn sau và cần phải cấu hình lại chúng:
Bạn không thể truy cập giao diện quản lý WAN từ mạng LAN một cách trôi chảy được. Vì tất cả các yêu cầu từ mạng LAN đều được chuyển qua nhóm gateway cân bằng tải, vì vậy một số yêu cầu đến WAN (cụ thể là truy cập IP 192.168.2.2) sẽ được chuyển sang OPT1 (192.168.3.2). Mà 2 WAN này thực tế không kết nối trực tiếp với nhau. Bạn cần thiết lập thêm rules truy cập trong trường hợp đích đến là 192.168.2.2 thì chỉ truy cập qua gateway WAN: 192.168.2.1 như sau:
GVHD: Ngô Văn Công Page 111
Hình 5-46 Tạo rule LANtoWAN
GVHD: Ngô Văn Công Page 112
Thêm rules để quy định cách máy con truy cập đường WAN 2 (OPT1):
Hình 5-48 Tạo Rule LANtoOPT1
Hình 5-49 Chọn gateway LANtoOPT1
Nếu bạn đang dùng một đường WAN của VNPT và một đường của FPT, bạn cũng không thể truy cập các trang của riêng nhà cung cấp FPT một cách trôi chảy được. Vì vậy, cân thêm 1 rule truy cập để quy định cách máy con truy cập IP của server nhà cung cấp đó với:
Destination: “Netwwork”, “Địa chỉ IP của server”. Gateway: 192.168.2.1.
GVHD: Ngô Văn Công Page 113 Kết quả sau khi cấu hình:
Hình 5-50 Rule LAN
Các rule trên chỉ là các rule được khai báo đơn giản. Chúng ta có thể thêm các rule mới cho các lưu lượng truy cập tùy chọn khác nhau bằng cách thiết lập Protocol (giao thức) hoặc thiết lập trong Advanced features của mỗi rule. Lưu lý rằng các rule được xử lý từ trên xuống, và một khi rule được khớp (matched), nó sẽ đươc xử lý theo rule đó và bỏ qua các rule sau. Vì vậy cần sắp xếp lại thứ tự các rules sao cho đúng theo yêu cầu.
Vấn đề DNS
Nếu các máy client trong LAN sử dụng địa chỉ DNS server là địa chỉ gateway của LAN (trường hợp này là 192.168.10.1) thì chúng ta phải chắc chắn rằng đã khai báo DNS server cho pfSense (menu System General Setup), nếu không các máy client sẽ không phân giải tên miền được khi truy cập internet.
GVHD: Ngô Văn Công Page 114