MultiWAN

MultiWAN#

La configurazione MultiWAN (Wide Area Network) è un’impostazione in cui il firewall utilizza contemporaneamente più connessioni Internet provenienti da diversi provider di servizi Internet (ISP). Questa configurazione ha l’obiettivo di aumentare l’affidabilità della rete, incrementare la larghezza di banda e migliorare la velocità di connessione distribuendo il traffico di rete su più collegamenti. Può offrire protezione da failover, garantendo che, in caso di guasto di una connessione, il traffico di rete venga automaticamente reindirizzato verso la connessione funzionante, riducendo al minimo i tempi di inattività e assicurando un accesso continuo a Internet. Le configurazioni MultiWAN sono spesso utilizzate da aziende e organizzazioni che necessitano di una connessione Internet altamente disponibile e stabile per le proprie operazioni.

La configurazione MultiWAN richiede almeno due interfacce di rete nella zona WAN del sistema. Questo è il requisito fondamentale per implementare una connessione MultiWAN.

La prima volta che si accede alla pagina di configurazione, è obbligatorio creare una policy predefinita. Questa policy è essenziale e non può essere eliminata. La policy predefinita definisce il comportamento di base del sistema MultiWAN. È necessario specificarne il comportamento. Sono disponibili due opzioni principali:

  • Bilanciato: In questa modalità, le connessioni WAN vengono utilizzate simultaneamente e il traffico viene bilanciato in base al peso assegnato a ciascuna WAN. Il peso della WAN può variare da 1 a 1000.

  • Backup: In modalità backup, la connessione WAN secondaria entra in funzione solo se la connessione primaria fallisce. Questo garantisce una connettività di riserva in caso di guasto della WAN primaria.

Esiste anche una modalità Personalizzato che consente una configurazione più dettagliata, particolarmente utile quando si gestiscono tre o più connessioni WAN. Questa modalità offre una maggiore flessibilità nella gestione del traffico tra le diverse connessioni WAN.

Nella modalità personalizzata della configurazione Multi-WAN, si applicano i seguenti concetti:

  • Livelli di priorità indipendenti: ogni livello di priorità funziona in modo indipendente dagli altri. Le interfacce WAN all’interno di un determinato livello di priorità non influenzano e non dipendono dalle interfacce presenti in altri livelli.

  • Più interfacce WAN all’interno di un livello di priorità: ogni livello di priorità può contenere due o più interfacce WAN. Queste interfacce sono raggruppate insieme per impostazioni di configurazione specifiche.

  • I pesi determinano la distribuzione del traffico: i pesi assegnati alle interfacce WAN all’interno di un livello di priorità determinano come il traffico viene distribuito tra queste interfacce. Pesi più alti indicano una maggiore proporzione di allocazione del traffico.

  • La priorità diminuisce con i nuovi livelli: aggiungere un nuovo livello di priorità comporta che le interfacce all’interno di questo livello abbiano una priorità inferiore. Esse vengono utilizzate solo se tutte le interfacce nel livello precedente falliscono.

Si consideri uno scenario in cui le prime due interfacce WAN sono configurate in modalità bilanciamento, e l’ultima interfaccia funge da backup nel caso in cui entrambe le prime due interfacce risultino non disponibili.

  1. Selezionare le prime due interfacce WAN e impostarle in modalità bilanciamento assegnando dei pesi a entrambe in base alle prestazioni della connessione Internet.

  2. aggiungere un nuovo livello di priorità facendo clic sul pulsante Aggiungi livello di priorità

  3. selezionare la terza interfaccia WAN e assegnare un peso. Tuttavia, in questo scenario, il peso non influenza la distribuzione del traffico poiché è l’unica interfaccia a questo livello. Funziona come backup, entrando in gioco solo se entrambe le interfacce del livello precedente falliscono.

Regole di instradamento#

Gli utenti possono creare regole di traffico in uscita basate su criteri specifici come IP sorgente, IP di destinazione, porta(e) sorgente, porta(e) di destinazione e tipi di protocollo IP. Questa funzionalità di routing basato su policy consente di personalizzare quali connessioni in uscita utilizzano specifiche interfacce WAN, permettendo una configurazione di rete altamente personalizzata.

Ecco come è possibile creare una regola personalizzata:

  1. Creare una nuova policy: per iniziare a personalizzare l’instradamento del traffico, iniziare creando una nuova policy. Fare clic sul pulsante Crea policy per avviare il processo.

  2. Crea una nuova regola: quindi fare clic sul pulsante Crea regola. Questo passaggio consente di definire condizioni specifiche in base alle quali il traffico verrà instradato in modo diverso rispetto alla policy predefinita.

  3. Assegnare un nome significativo alla regola: assegnare un nome descrittivo e significativo alla regola. Questo nome dovrebbe riflettere lo scopo o le condizioni della regola di instradamento del traffico per facilitarne l’identificazione.

  4. Specificare il tipo di traffico: definire i criteri per il traffico che si desidera personalizzare. Questo può includere l’indirizzo IP sorgente, l’indirizzo IP di destinazione, protocolli specifici, porte o qualsiasi combinazione di questi fattori. Specificando questi parametri, si restringe l’ambito della regola a uno specifico tipo di traffico. Con i campi Indirizzo sorgente e Indirizzo di destinazione, è possibile scegliere tra le seguenti opzioni:

    • Immettere un indirizzo o un intervallo: specificare un singolo indirizzo IP o un CIDR. È supportato solo IPv4.

    • Qualsiasi indirizzo: selezionare questa opzione per corrispondere a qualsiasi indirizzo.

    • Selezionare un oggetto firewall: scegliere dall’elenco degli oggetti firewall predefiniti.

  5. Selezionare la policy creata per questo tipo di traffico: scegliere la policy personalizzata creata nel primo passaggio come preferenza di instradamento per questo specifico tipo di traffico. Associando la regola a una determinata policy, si indica al sistema di instradare il traffico definito secondo le impostazioni specificate all’interno di quella policy.

  • Opzione Sticky: L’opzione sticky di una regola garantisce che il traffico proveniente dallo stesso IP di origine esca sempre attraverso la stessa WAN per una durata di 10 minuti. Questo può prevenire problemi durante la connessione a siti web di banche, compagnie assicurative, ecc. Questa opzione viene tipicamente utilizzata per il traffico HTTPS (443/TCP).

Le seguenti sono le opzioni disponibili per definire le porte di traffico:

  • <port>: Porta singola

  • <porta>,<porta>: Elenco di porte

  • <port>-<endport>: Intervallo da <port> a <endport>

Impostazioni generali#

NethSecurity monitora ciascuna connessione WAN utilizzando test ICMP ripetuti.

La pagina Impostazioni generali consente di specificare i seguenti parametri:

  • Elenco degli host da monitorare: è possibile definire un elenco di host (computer, server o dispositivi) che il sistema monitorerà per lo stato di connettività. Questi host vengono controllati per garantire che siano raggiungibili tramite la rete.

  • Numero di pacchetti ICMP (ping) da inviare: è possibile impostare il numero di pacchetti ICMP (Internet Control Message Protocol) da inviare durante ciascun test di monitoraggio. Impostando il numero di pacchetti, si può controllare l’intensità del monitoraggio.

  • Determinazione dell’irraggiungibilità dopo quanti test falliti: è possibile configurare il sistema per stabilire quando una connessione WAN deve essere considerata irraggiungibile. Questo viene fatto specificando una soglia, ovvero dopo quanti test consecutivi falliti la connessione WAN viene considerata irraggiungibile.

Reset configurazione#

Avvertimento

Questo reimposterà effettivamente la configurazione MultiWAN, con una perdita della connessione Internet se nessuna WAN è configurata.

Se il firewall era stato precedentemente configurato con due o più interfacce WAN e, dopo la riconfigurazione, è presente solo una interfaccia WAN, si consiglia di reimpostare la configurazione MultiWAN. In questo modo si garantirà che il firewall sia configurato correttamente e funzioni come previsto.

/usr/libexec/rpcd/ns.mwan call clear_config
uci commit mwan3
reload_config