双广域网路由器:如何使用pfSense进行负载均衡

山姆是一家算法交易公司的网络分析师。他获得了UMKC的信息技术学士学位。

购买一个双广域网路由器可以很容易地花费你几百美元。除了价格高之外，市场上的许多型号还缺乏许多功能。因此，与其花钱购买功能有限的路由器，你可以回收一些旧硬件，自己打造一台。通过利用流行的开源路由器/防火墙平台pfSense，你可以创建一个功能强大、功能丰富的路由器。此外，你会有一种成就感，因为你知道它是你自己创造的。

为什么要设置双wan路由器？

• 增加你的网络带宽-如果您有多个internet连接，您可以对它们进行负载平衡，以便为家庭或办公室网络上的计算机提供更多带宽。这对于下载Torrent和同时玩在线游戏非常有用。
• 提供备份互联网连接-另一个流行的用途是在一个internet连接脱机时提供冗余或故障切换。在这种情况下，确保您使用两个不同的ISP是很重要的。例如，一根电缆和一个DSL连接。

如果你想在开始之前了解更多关于pfSense的内容，请查看我的文章，介绍pfSense．我将假设本文的读者具有一些基本的网络知识，并且熟悉如何设置路由器。如果你有任何问题或想了解更多细节，请告诉我。

pfSense 2.0版本的更新

我已经更新了这篇文章，包括了pfSense 2.0版本的说明，我打算把这篇文章中关于版本1.2.3的部分保留一段时间，因为许多人仍然在使用它。如果您还没有这样做，我强烈建议您升级到2.0版本。版本2.0不仅对多广域网连接有更好的支持，而且还提供了其他几个很棒的特性。

你将需要什么开始

1. 一台旧电脑-对于这种类型的应用程序，我建议处理器速度至少为1GHz，内存至少为256Mb。这台计算机还需要一个硬盘驱动器(CF卡)和一个光盘驱动器。如果你身边没有旧机器，你可以去Craigslist或车库拍卖网站看看。你应该可以免费或非常便宜地买到一些东西。
2. 三个网卡-你使用的计算机需要有三个网络接口。一个用于LAN端口，两个用于WAN端口。我建议使用至少100Mb的卡片来防止瓶颈。板载网络连接可以很好地工作，如果你没有板载网卡，你可以只使用三个PCI或PCIe网卡。你可以从旧电脑中抢救网卡，或者以较低的成本购买新的网卡。
3. 两个网络连接-电缆，DSL, T1, FIOS等您可以使用来自同一提供商的两个连接，如果您愿意，也可以使用两个不同的ISP。
4. pfSense软件-您需要从其中一个镜像下载live CD并将其刻录到光盘中。访问www.pfsense.org并点击下载。我建议使用pfSense 2.0版，因为它包含更好的多wan支持。免费的7-Zip程序可以为您解压该gz文件。

设置一切

如果你已经有一个功能强大的pfSense路由器，请继续阅读关于如何配置双广域网连接的详细信息。如果你不检查pfsense安装指南，然后继续本文的其余说明。

1.2.X版的接口配置

这些步骤将使用pfSense web GUI完成。

我假设在您的初始pfSense设置期间，您已经配置了一个LAN和一个WAN接口。

要配置第二个WAN接口，请从“接口”菜单中选择OPT1。单击复选框启用接口，并根据需要将类型设置为DHCP或Static，然后单击Save。

负载均衡器

接下来打开“服务”下的“负载平衡器”页面。单击+号创建一个新池。例如，选择“LoadBalance”这样的名称，然后将类型设置为Gateway。根据您试图完成的任务选择负载平衡或故障转移的行为。“监控IP”设置为“广域网的网关”。然后从下拉菜单中选择WAN接口，并单击add to pool。您将看到WAN出现在下面的列表中。然后将Monitor IP改为OPT1的网关，从接口列表中选择OPT1，单击add to pool。您的配置应该与您在屏幕截图中看到的类似。完成后单击save，并在下一页应用更改。

请注意，如果每个接口都有相同的网关，pfSense的行为会很奇怪。您可以通过在其中一个接口之间建立一个桥梁来解决这个问题，但最好避免这样做。

要检查您的配置是否工作，请转到状态菜单下的负载均衡器。它们都应该报告它们是在线的，并报告它们的监视器IP的延迟。

故障排除

如果接口没有显示为在线，请验证您的监控IP将响应ICMP ping。如果不支持，则需要选择不同的监控ip，如DNS服务器。您可能还需要在Status\Interfaces菜单上再次检查每个接口的IP配置。如果WAN/OPT1接口配置为DHCP，可能需要释放/更新地址。

最终配置

如果负载平衡器状态看起来是绿色的，那么您就可以激活它了。在防火墙菜单上单击规则，然后选择LAN选项卡。您需要编辑默认规则并将网关从default更改为LoadBalance。这将把所有出站流量发送到负载均衡器。

版本2.0的配置

这些步骤将使用pfSense web GUI完成。

接口

您需要做的第一件事是分配第二个广域网路接口。如果已配置，可以跳过此步骤。单击“接口”菜单中的“分配”。然后单击加号标记的“添加”，并选择要使用的接口的mac地址。如果只有一个未分配的接口，它将被自动选中。默认情况下，接口将被命名为OPT1。您的配置应该类似于右边的屏幕截图。

在您分配了接口之后，您需要启用它。单击“接口”菜单，然后选择第二个wan接口(OPT1)的名称。选中复选框，启用该接口，然后选择类型为DHCP或static。重要的是要注意，如果您的网关不响应ICMP ping，那么您应该设置一个备用监控IP，如谷歌dns(8.8.8.8)。

网关

接下来单击在系统菜单中找到的路由。验证每个WAN接口都分配了一个网关。如果OPT1没有网关，在继续之前检查DHCP或静态ip配置。

添加网关组

如果两个网关看起来都不错，您可以单击网关组选项卡，并通过单击加号创建一个新组。为WAN和OPT1都分配一级优先级。将触发器设置为'member down '。

确保网关组处于在线状态

此时，您应该检查已创建的网关组的状态，以确保两个接口的状态都为online。如果组中有一个成员显示为脱机，则确保网关响应ICMP ping或输入备用监控IP。在某些情况下，您可能只需要重新启动路由器，以便两个成员都能激活。

编辑默认局域网规则

最后一步是编辑默认LAN规则，以便出站流量将通过负载均衡器。要做到这一点，请单击防火墙菜单下的规则。然后以“LAN net”为源编辑规则，将网关更改为LoadBalance，或之前为网关组分配的名称。

测试

要测试是否一切正常，请使用支持多线程的速度测试站点，如www.speakeasy.net上的站点。torrent和Usenet也将从负载平衡中受益匪浅。您还可以在“状态\流量图”菜单下监控每个接口的带宽。

pfSense负载均衡器使用轮询算法来决定将流量发送到哪个接口。您可以在“系统\高级”菜单中启用粘性连接，这将发送连续的连接到同一个IP出同一个接口。如果源IP在连接期间发生变化，一些SSL连接的行为可能会很奇怪。

如果您正在使用两个电缆调制解调器或其他使用共享物理基础设施的连接，请转到System\Advanced并启用“共享物理网络”设置。这将防止您的系统日志充满重复的ARP消息。

如果设置了故障转移配置，测试它的最佳方法是拔下WAN或OPT1电缆，看看互联网是否仍然可以工作。

封闭的思想

如果需要，您可以轻松地将这些说明应用于三重甚至四重wan路由器。限制实际上是一台计算机中可以插入多少网卡。我计划在pfSense 2.0发布后更新本文。如果你想让我在任何章节中添加更多细节，请告诉我。

如果你觉得这篇文章有用，请花点时间给它打分或在下面留下评论。

就作者所知，这篇文章是准确而真实的。内容仅用于信息或娱乐目的，不替代个人咨询或商业、金融、法律或技术问题的专业意见。

评论

Kristoff帕克斯顿2018年5月18日:

嗨,伙计们!我是新手，非常需要帮助。你能帮帮我吗?我有一个Pfsense与两个ISP连接到它，都是使用静态IP。我的pfsense上还没有配置Loab Balance，请帮助我如何使用两个ISP同时配置负载平衡，以最大化我的互联网。我还需要一个VPN连接，我需要安装VPN路由器吗?如何连接?

哈奇森2016年5月20日:

更好的带宽测试是使用peplink的平衡宽带速度测试工具。

http://www.peplink.com/knowledgebase/speed-test-to..。

它可以使我的两个广域网链路饱和，并结合它们的速度，如局域网接口流量图所示。

奥斯瓦尔多·费雷拉2016年4月26日：

您好，我在网络上有一个debian iptables下的Web服务器，它工作得非常好。现在我想迁移到pfsense，使用双Wan基本上可以正常工作，但当我上线时，无法访问局域网内外，Apache给我抛出了一个403错误。将Squid配置为透明代理，启用NAT+代理，并将端口配置为转发到端口80上的Web服务器。会发生什么？

PrakharBudholiya2015年10月30日:

嗨,山姆,

你的博客非常有帮助，我已经在我的路由器上使用了两个不同的isp进行负载均衡。它运行得很好。但我所面临的是，每当负载平衡工作在pfSense我的natting规则开始波动。

我已经完成了映射在不同的端口相同的公共ip与不同的私有ip使用nat规则。现在，当负载平衡被启用时，这些规则会自动被禁用。

你能建议如何解决这个问题吗？

维杰穆杜2015年6月11日：

如何允许HTTPS网站使用透明代理pfsense

普拉卡什B年代2014年11月27日:

你好

我有一条租用线路和一条宽带线路。

我在它的故障转移之上创建了负载平衡。

但是，我想说，如果租用的线路使用高，那么只有我想激活宽带线路。因为我的带宽限制在150gb。

nevakee2013年11月4日：

嗨,伙计们,

我的想法如下:

我有一个WAN 15mb /s静态IP从我的ISP;

在同一区域，我可以通过WiFi连接到5 Mb/s的链路。（静态和DHCP都可用，与第一条链路的GW不同）；

我想用以下参数在ALIX.2D13上设置pfSense:

-负载平衡(在某种意义上，结合两个传入的链接，以获得20mb /s的LAN)

故障切换(在WAN链路发生故障时自动切换)

我想我需要在客户端模式下配置Wifi连接，并将其作为第二个WAN呈现给系统;

不确定组合链接的方式-你能评论一下这个设置吗?

干杯，斯坦

汞2013年9月24日：

嘿。

我有两个有线调制解调器，分别连接互联网。由于usenet提供商不允许多个IP连接同时到一个帐户，这如何解决pfSense?

山姆Kear(作家)2013年4月22日，堪萨斯城:

@abubin

目前已知存在粘性连接不工作的问题，因此一般建议不要使用此功能。

Bug追踪器

http://redmine.pfsense.org/issues/337

如果没有粘性连接，一些协议(如https、ftp和sip)会出现问题，因此您将希望为它们使用故障转移池。你也可以使用静态NAT规则。

http://www.bsdcan.org/2008/schedule/attachments/66...

阿布宾2013年4月22日:

粘性连接真的有效吗?我读了一些网站和pfsense论坛，它不工作的一些。我已经测试过我的了，但效果不太好。

Xiomara2011年11月29日:

嗨，斯凯尔，

我想做个路由器，但我做不到。非常有用和有趣的枢纽。

斯凯尔：我有个问题要问你，我有一个清晰的路由器，从我把垃圾带到我家的那天起，电脑就开始工作，但速度很慢；因为缓冲，我从来没有看过视频。我每个月付给公司52.28英镑，我觉得自己被抢劫了。

你能告诉我哪个路由器适合我的电脑吗？我的电脑是戴尔47000。

提前谢谢。

山姆Kear(作家)2011年10月9日，堪萨斯城:

@Shahid

PowerEdge 2800将是运行pfSense的理想系统。它有几个pci插槽和容纳大量硬盘的空间。除了多wan路由器，您还可以设置缓存代理服务器。

https://爱游戏客服中心www.lordneo.com/internet/How-to-setup-a-tr...

我在pfSense论坛上找到了一些关于2800的信息，可能对您有用。

http://forum.pfsense.org/index.php?topic=34648.0

沙希德·萨利姆2011年10月8日:

Aslam-o-Alykum先生，我正在购买Dell Power edge 2800。我的使用情况分布Internet连接告诉我有关服务器的使用情况。这对我的工作很有帮助。

山姆Kear(作家)2011年10月1日，堪萨斯城:

@networknewbie

基本上，你要设置一个带有三个网卡的双广域网路由器。这两个调制解调器将直接连接到pfSense路由器。

pfSense路由器上的LAN端口将连接到您的集线器和网络上的其他10台PC。

networknewbie2011年10月1日:

我如何使用两个互联网连接在一个网络(2调制解调器10 PC使用1 HUB)?这是可能的吗?

我唱宽带连接。

山姆Kear(作家)2011年9月2日来自堪萨斯市：

嗨，沙菲克，

你可以在一台旧电脑上安装pfSense。如果还没有网卡，您需要添加第二块网卡。查看下面的链接获取更多信息。

https://爱游戏客服中心www.lordneo.com/computers/Introduction-to-...

http://samkear.com/how-to-guides/setting-up-a-pfse..。

沙菲克2011年9月2日:

我如何能得到pfsene路由器

这个领域的链接是什么

山姆Kear(作家)2011年8月16日，堪萨斯城：

谢谢你，保罗！祝你的项目好运。我总是喜欢建造一个新的pfSense盒子。

欧洲甜樱桃保罗发信息给鲍思高堂另2011年8月16日从菲律宾发来:

非常有趣的!将得到一个旧PC今天和两个NIC卡开始这个项目很快!伟大的中心!

Lingga2011年7月4日:

如何设置负载平衡，当我只有一个广域网端口与多个网关背后…这可能吗?

山姆Kear(作家)2011年5月4日来自堪萨斯市：

@计算机实验室

谢谢你的建议!大多数正在设置pfSense的人可能正在替换旧的路由器，并且可以使用它来达到这个目的。

computerlab2011年5月3日:

或者使用旧的垃圾箱路由器，广域网端连接到第二线调制解调器，局域网端连接到pfsense OPT1线。

将其配置为根据需要与wan调制解调器通信，并将dhcp地址发送到lan端opt1线路，如192.168.3.x

这给OPT1提供了一个不同的网关。这是一个黑客，但似乎对我有用。

山姆Kear(作家)2011年5月2日来自堪萨斯市：

嘿,泡沫,

对于复制网关，您可以做一些事情。

1.请您的ISP为您提供不同范围内的IP（他们不太可能这样做）

2.为其中一个调制解调器购买一个静态IP地址。静态IP极有可能位于具有不同网关的不同网络中。

3.启用共享的物理网络(系统\高级)并与之共存。它没有官方支持，但它会工作的。版本2.0处理它比1.2.x好得多。

泡沫2011年5月1日:

你如何解决有两个调制解调器与同一网关的问题?