Multi-WAN в pfSense - несколько интернет-каналов
Multi-WAN в pfSense позволяет подключить несколько интернет-каналов и управлять распределением трафика между ними. Конфигурация Multi-WAN решает две основные задачи: повышение отказоустойчивости за счёт автоматического переключения на резервный канал при отказе основного (failover) и увеличение суммарной пропускной способности за счёт одновременного использования нескольких каналов (load balancing). pfSense поддерживает произвольное количество WAN-интерфейсов - в production-средах успешно эксплуатируются конфигурации с десятью и более каналами.
Ключевые компоненты
Архитектура Multi-WAN в pfSense строится на трёх взаимосвязанных механизмах.
Gateway Monitoring
pfSense непрерывно контролирует состояние каждого шлюза (gateway) через отправку тестовых пакетов на указанный IP-адрес мониторинга. По умолчанию используются ICMP-пакеты, направленные на IP-адрес шлюза провайдера. Для каждого шлюза настраиваются пороговые значения потерь пакетов и задержки, при превышении которых шлюз считается недоступным.
Параметры мониторинга настраиваются в System > Routing > Gateways, при редактировании конкретного шлюза. Основные параметры:
| Параметр | Назначение | Значение по умолчанию |
|---|---|---|
| Monitor IP | IP-адрес для отправки тестовых пакетов | IP-адрес шлюза |
| Probe Interval | Интервал между тестовыми пакетами (секунды) | 1 |
| Loss Interval | Время ожидания ответа на один пакет (миллисекунды) | 2000 |
| Time Period | Период расчёта средних показателей (секунды) | 60 |
| Alert Interval | Минимальный интервал между оповещениями (миллисекунды) | 1000 |
| High Latency | Порог задержки для статуса warning (миллисекунды) | 500 |
| High Loss | Порог потерь для статуса warning (проценты) | 20 |
| Down | Порог потерь для статуса down (проценты) | 10 |
Внимание:
Рекомендуется использовать в качестве Monitor IP публичный DNS-сервер (например, 8.8.8.8 или 1.1.1.1) вместо адреса шлюза провайдера. Шлюз провайдера может отвечать на ICMP-запросы даже при отсутствии связи с интернетом, что приведёт к некорректному определению состояния канала.
Gateway Groups
Gateway Groups - центральный механизм Multi-WAN. Группа шлюзов объединяет два или более шлюза и определяет логику распределения трафика между ними через назначение уровней (tier) и весовых коэффициентов (weight).
Принцип работы уровней:
- Одинаковый tier - шлюзы работают параллельно, трафик балансируется между ними (load balancing). При отказе одного из шлюзов трафик автоматически перенаправляется на оставшиеся шлюзы того же уровня.
- Разные tier - шлюз с меньшим номером tier имеет приоритет. Шлюзы следующего уровня активируются только при недоступности всех шлюзов предыдущего уровня (failover).
Комбинация обоих подходов позволяет строить сложные схемы. Например, два канала на Tier 1 обеспечивают балансировку с автоматическим переключением на резервный канал Tier 2 при отказе обоих основных.
Gateway Groups создаются в System > Routing > Gateway Groups.
Policy Routing
Само по себе создание Gateway Group не влияет на маршрутизацию трафика. Группа должна быть назначена в правиле файрвола в поле Gateway. Только после этого трафик, соответствующий правилу, будет маршрутизироваться через указанную группу шлюзов.
Policy routing позволяет направлять различные типы трафика через разные каналы. Например, VoIP-трафик может маршрутизироваться через выделенный канал с низкой задержкой, а остальной трафик - через группу с балансировкой.
Требования к инфраструктуре
Для корректной работы Multi-WAN необходимо соблюдать следующие условия:
- Разные провайдеры или трассы - каналы от одного провайдера одного типа часто проходят по одной физической трассе. Отказ трассы приведёт к одновременной потере всех каналов, что нивелирует преимущества Multi-WAN. Рекомендуется использовать каналы разных типов (оптика, медь, LTE) от разных провайдеров.
- Корректная настройка DNS - каждый WAN-интерфейс должен иметь собственный DNS-сервер. pfSense направляет DNS-запросы через шлюз, назначенный в настройках DNS-сервера.
- Настройка Outbound NAT - при использовании нескольких WAN-интерфейсов необходимо убедиться, что для каждого WAN существует правило исходящего NAT. В автоматическом и гибридном режимах правила создаются автоматически.
Содержание раздела
- Балансировка нагрузки - настройка Gateway Groups для распределения трафика между каналами, весовые коэффициенты, sticky connections и диагностика
- Failover - настройка автоматического переключения на резервный канал, мониторинг шлюзов, тестирование и восстановление
Связанные разделы
- Исходящий NAT - настройка трансляции адресов для нескольких WAN-интерфейсов
- Правила файрвола - назначение Gateway Group в правилах для policy routing
- VPN в pfSense - использование VPN-туннелей в конфигурации Multi-WAN