MultiWAN

La configurazione MultiWAN (Wide Area Network) è un’implementazione in cui il firewall utilizza contemporaneamente più connessioni Internet provenienti da diversi fornitori di servizi Internet (ISP). Questa configurazione mira a migliorare la affidabilità della rete, aumentare la larghezza di banda e migliorare la velocità di Internet distribuendo il traffico di rete su più collegamenti. Può fornire protezione in caso di guasto, garantendo che se una connessione fallisce, il traffico di rete venga automaticamente reindirizzato alla connessione funzionante, riducendo al minimo i tempi di inattività e garantendo un accesso continuo a Internet. Le configurazioni MultiWAN sono spesso utilizzate in aziende e organizzazioni che richiedono una connessione Internet altamente disponibile e stabile per le loro operazioni.

La configurazione MultiWAN richiede almeno due interfacce di rete nella zona WAN del sistema. Questo è il requisito fondamentale per implementare una connessione MultiWAN.

La prima volta che si accede alla pagina di configurazione, è obbligatorio creare una policy predefinita. Questa policy è essenziale e non può essere eliminata. La policy predefinita definisce il comportamento di base del sistema MultiWAN. È necessario specificarne il comportamento. Ci sono due opzioni principali disponibili:

• Bilanciato: In questa modalità, le connessioni WAN vengono utilizzate contemporaneamente, e il traffico viene bilanciato in base al peso assegnato a ciascuna WAN. Il peso WAN può variare da 1 a 1000.

• Backup: In modalità di backup, la connessione WAN secondaria entra in gioco solo se la connessione primaria fallisce. Ciò garantisce una connettività di backup nel caso in cui la WAN primaria dovesse fallire.

Esiste anche una modalità Personalizzata che consente una configurazione più dettagliata, particolarmente utile quando si gestiscono tre o più connessioni WAN. Questa modalità offre una maggiore flessibilità nella gestione del traffico tra diverse connessioni WAN.

Nella modalità personalizzata della configurazione MultiWAN, si applicano i seguenti concetti:

• Livelli di priorità indipendenti: ogni livello di priorità opera indipendentemente dagli altri. Le interfacce WAN all’interno di un particolare livello di priorità non influiscono né dipendono dalle interfacce in altri livelli.

• Interfacce WAN multiple all’interno di un livello di priorità: ogni livello di priorità può contenere due o più interfacce WAN. Queste interfacce sono raggruppate insieme per impostazioni di configurazione specifiche.

• I pesi determinano la distribuzione del traffico: i pesi assegnati alle interfacce WAN all’interno di un livello di priorità determinano come il traffico viene distribuito tra queste interfacce. Pesi più alti indicano una maggiore proporzione di allocazione del traffico.

• La priorità diminuisce con nuovi livelli: l’aggiunta di un nuovo livello di priorità comporta che le interfacce all’interno di questo livello abbiano una priorità più bassa. Vengono utilizzate solo se tutte le interfacce nel livello precedente falliscono.

Considera uno scenario in cui le prime due interfacce WAN sono configurate in modalità di bilanciamento, mentre l’ultima interfaccia funge da backup nel caso in cui falliscano entrambe le prime due interfacce:

1. Seleziona le prime due interfacce WAN e impostale in modalità bilanciamento assegnando pesi a entrambe in base alle prestazioni della connessione Internet

2. Aggiungi un nuovo livello di priorità facendo clic sul pulsante Aggiungi livello di priorità

3. Seleziona la terza interfaccia WAN e assegnale un peso. Tuttavia, in questo scenario, il peso non influenza la distribuzione del traffico poiché è l’unica interfaccia in questo livello. Essa funge da backup, entrando in gioco solo se entrambe le interfacce nel livello precedente falliscono.

Regole di routing

Gli utenti possono creare regole di routing del traffico in uscita basate su criteri specifici come l’indirizzo IP di origine, l’indirizzo IP di destinazione, la porta di origine, la porta di destinazione e i tipi di protocollo IP. Questa funzionalità di routing basata su policy consente agli utenti di personalizzare quali connessioni in uscita utilizzano specifiche interfacce WAN, consentendo una configurazione di rete molto dettagliata.

Ecco come è possibile creare una regola personalizzata:

1. Crea una nuova policy: per iniziare a personalizzare il routing del traffico, inizia creando una nuova policy. Fai clic sul pulsante Crea policy per avviare il processo.

2. Crea una nuova regola: successivamente, fai clic sul pulsante Crea regola. Questo passaggio ti consente di definire condizioni specifiche in base alle quali il traffico sarà instradato diversamente rispetto alla policy predefinita.

3. Assegna una denominazione significativa alla regola: attribuisci un nome descrittivo e significativo alla regola. Questo nome dovrebbe riflettere lo scopo o le condizioni della regola di routing del traffico per una facile identificazione.

4. Specifica il tipo di traffico: definisci i criteri per il traffico che desideri personalizzare. Ciò può includere l’indirizzo IP di origine, l’indirizzo IP di destinazione, protocolli specifici, porte o qualsiasi combinazione di questi fattori. Specificando questi parametri, riduci l’influenza della regola a un tipo specifico di traffico.

5. Seleziona la policy creata per questo tipo di traffico: scegli la policy personalizzata che hai creato nel primo passo come preferenza di routing per questo tipo specifico di traffico. Associando la regola a una particolare policy, stai istruendo il sistema a instradare il traffico definito in base alle impostazioni specificate all’interno di quella policy.

Impostazioni generali

NethSecurity monitora ogni connessione WAN utilizzando test ICMP ripetuti.

La pagina`` Impostazioni generali`` consente agli utenti di specificare i seguenti parametri:

• Elenco degli host da monitorare: gli utenti possono definire un elenco di host (computer, server o dispositivi) che il sistema monitorerà per lo stato della connettività. Questi host vengono controllati per assicurarsi che siano raggiungibili attraverso la rete.

• Numero di pacchetti ICMP (ping) da inviare: gli utenti possono impostare il numero di pacchetti ICMP (Internet Control Message Protocol) da inviare durante ogni test di monitoraggio. Impostando il numero di pacchetti, gli utenti possono controllare l’intensità del monitoraggio.

• Determinare l’irraggiungibilità in funzione del numero dei test falliti: gli utenti possono configurare il sistema per stabilire quando una connessione WAN dovrebbe essere considerata irraggiungibile. Ciò avviene specificando una soglia: dopo quanti test consecutivi falliti la connessione WAN è considerata irraggiungibile.

Ripristina configurazione

Avvertimento

Ciò ripristinerà effettivamente la configurazione MultiWAN, con una perdita di connessione Internet se nessuna WAN è configurata.

Se il tuo firewall era precedentemente configurato con due o più interfacce WAN e dopo la riconfigurazione rimane solo un’interfaccia WAN, è consigliabile rimuovere la configurazione MultiWAN. Ciò garantirà che il tuo firewall sia correttamente configurato e funzionante come previsto.

/usr/libexec/rpcd/ns.mwan call clear_config
uci commit mwan3
reload_config