pfSense多WAN設置指南

概述

本指南中描述的設置使pfSense能夠平衡或故障切換從LAN到多個Internet連接（WAN）的流量。 通過負載平衡，來自LAN的流量可以通過正常使用的WAN在基于連接的基礎上循環共享。 通過故障轉移，流量將超出最高優先級的WAN，直到它掉線，然后使用下一個。 pfSense使用網關IP或備用監視IP地址監視每個WAN連接，并且如果監視IP發生故障，它將在網關組中剔除該WAN使用。

摘要

在大多數設置中，只需要完成三個部分。

· 添加網關組 (系統 > 路由管理，網關組選項卡)

· 在LAN防火墻規則上使用網關組

· 確保為每個WAN網關設置至少一個DNS服務器 （系統 > 常規設置）

本指南使用pfsense2.34漢化版進行示例。

一、接口設置

在開始之前，請確保所有WAN類型接口都已啟用。 對于靜態IP WAN，請確保它們都具有網關集。并確保網關/監視IP可以響應ping，以確認每個WAN實際在線。如果已經定義了網關，那么在“ 系統狀態 > 網關狀態” 是可以看見的。 如果它們是綠色的，那么表示與網關的連接是連通的。

二、網關設置

確保每個WAN接口都有一個網關(在系統 > 路由>網關選項卡上設置)

靜態IP WAN有正常的網關條目，DHCP / PPPoE 具有動態網關條目。

對于每個網關，有一些設置可以稍微改變他們的行為。 大多數設置應該保留為默認值，你也可以根據需要對他們進行修改。

1、監視IP

默認情況下，pfSense將ping網關以確定WAN的連接質量。 在某些情況下，這不是一個準確的措施。 例如，如果WAN網關實際上是本地的設備，而不是ISP網絡的另一端，則實際的WAN鏈路可能會關閉，并且網關ping不會顯示。 另外，如果ISP網關啟動，但ISP遇到上游故障，則只能ping通網關。

可以在這里輸入一個自定義的IP地址，用于確定WAN的連接質量。 可以使用公共網站，Google公共DNS或Internet上響應ping的任何IP。 缺點是，如果IP已經脫機，或者遭受自身的故障，WAN可能會在真正關閉時被標記。

2、比重

默認情況下，在執行負載平衡時，同一層的所有WAN被認為是相等的。 如果WAN的速度不同，則比重參數允許系統給予更快的鏈接部分調整。 如果一條50Mbit的線路，另一個是10Mbit的線路，那么對它們平均分配顯然是不可取的。可以設置 50MBit線路的權值為5，所以使用率為5：1，這樣就會更加平衡一些。

3、丟包/延遲閾值

每個WAN在“正常”操作方面都有不同。 一些WAN具有低延遲并且沒有損失，連接質量很好，當在線路上有一些丟包或更高的延遲時，其他WAN也能正常運行。 這些字段為WAN網關報警而必須設置的值。 在有線電纜上，將損耗百分比提高到20以上可能會很好。 在緩慢的DSL或衛星鏈路上，幾百ms的延遲是最好的。 可以通過查看質量圖，了解WAN線路的相關指標。

三、網關組

網關組 (系統 > 路由管理 >網關組 )正如這個名稱所暗示的，他們組合在一起，以事先協調的方式行事， 它們可以執行負載平衡、故障轉移或兩者的混合。

雙WAN設置的一個常見做法是使三個網關組用于多WAN配置：一個負載平衡，另一個用于故障轉移，一個優先WAN。 可以擴展任意數量的WAN：使一個組優先應用，并對其他WAN的某些排序進行故障轉移。 這將允許選擇性地在每個WAN上進行流量以及負載平衡。

 1、層級

在網關組中，將每個網關分配給一個層級，以確定何時被使用。 較低層數是首選。 如果任意兩個網關位于同一層，則它們將負載平衡。 如果它們在不同的層，他們將做故障切換。 如果該層設置為“Never”，則該網關將不視為該網關組的一部分。

2、觸發條件

· 掉線

當監視IP 100%丟包時觸發。

· 丟包

僅當網關的丟包高于其定義的閾值時觸發。

· 高延遲

僅當網關延遲高于其定義的閾值時觸發。

· 丟包或高延遲

具備兩者之一就觸發。

3、負載平衡

當兩個網關位于同一層時，它們將負載平衡。 這意味著在每個連接的基礎上，連接以循環方式在每個WAN上進行路由。 如果同一層的任何網關關閉，則將其從使用中移除，并且該層上的其他網關繼續正常運行。

4、故障轉移

當兩個網關位于不同的層時，較低層級的網關是首選。 如果下層網關掉線，則將其從使用中移除，并使用下一個最高層網關。

5、組合

由于層級系統，可能有任意數量的負載平衡和故障轉移的組合，三個負載平衡WAN如果有一個WAN掉線，還可以使用兩個WAN繼續負載平衡，如果兩個掉線，那還可以使用一個WAN。 唯一的限制是只有5層，所以這樣的配置只能深入5層。

四、防火墻設置

定義網關組只是設置的一部分。 必須使用防火墻規則上的網關設置將流量分配給這些網關。

在 防火墻> 規則策略上, 在與網關組一起使用的LAN接口的選項卡上，編輯現有的通行規則并添加網關設置，選擇所需的網關，或添加新的規則。 記住，規則從上到下執行，一旦規則匹配，則處理停止。如果使用多WAN負載平衡，記住添加多網關。

某些流量可以定向到具有故障轉移組的一個WAN，與另一個WAN的一些其他流量相匹配，并使得所有規則進入負載均衡。

策略路由否定：當防火墻規則將流量引導到網關時，它會繞過防火墻上的路由表。 策略路由否定只是將流量傳遞到沒有網關集的其他本地或×××連接網絡的規則。 通過不在該規則上設置網關，它將繞過網關組并使用防火墻上的路由表。 這些規則應該在列表的頂部，或者至少高于使用網關的任何規則。

五、出站NAT

如果使用手動出站NAT，則必須為第二個WAN添加規則。 如果遵循上述指導原則，則自動出站NAT不需要調整。

六、注意事項

每個WAN上至少應有一個DNS服務器進行正確解析。 這可以通過在“系統 >常規選項”下編輯DNS服務器并為每個DNS服務器挑選網關來實現。 確保為特定WAN選擇的DNS服務器正常工作，系統的DNS轉發器將同時查詢所有DNS服務器，因此不會受到WAN故障的影響。如果DNS服務器在客戶端上進行了設置，則沒有此限制。但因為防火墻本身的服務仍然需要DNS，如果沒有可正常使用的的DNS服務器，將會影響防火墻的相關服務。

七、本地服務

默認情況下，使用Squid等代理的流量將繞過策略路由，并始終使用默認路由進行流量傳送。 它也繞過出站NAT，直接通過WAN IP地址離開。因此不可能進行負載平衡。 在此情況下，可以通過在系統> 高級選項 >附帶組件選項卡下選中默認網關切換來實現故障切換。

八、故障排除

· 檢查系統面板小部件上的網關狀態或系統狀態 >網關狀態。

· 如果故障頻繁觸發，請檢查質量圖并調整網關的丟包和/或延遲閾值。

· 如果本地或×××流量失敗， 請確保存在策略路由否定規則。

· 如果流量總是使用默認網關而不是多WAN，請檢查規則，以確保其已經定義了網關。

原文地址：https://doc.pfsense.org/index.php/Multi-WAN#Troubleshooting

2017年5月31日