Problema su config bilanciamento di carico e portale hotspot

[uniconnect]

Salve a tutti, scrivo questo post per segnalarvi un problema emerso nei giorni scorsi su di una rete e per chiedervi un consiglio/aiuto!!!!

Il problema in oggetto riguarda una configurazione di bilanciamento di flussi su di una rb2011!!!

Il bilanciamento è in piedi da parecchio tempo, non ha mai dato problemi e funziona benissimo, ma qualche giorno fa, attivando un sistema hotspot con portale captiva sulla parte LAN, mi sono accorto di un curioso problema: ovvero se il bilanciamento è attivo i client connessi alla rete wifi non riescono a raggiungere il portale per l’autenticazione, se invece disabilito il bilanciamento i client visualizzano correttamente la pagina….

...mi spiego meglio: il portale è su di una machina windows collegata alla rete sulla subnet della parte LAN; i client quando accedono all'hotspot tramite i vari AP, anch'essi sulla settati sulla stessa subnet, ricevono l'IP dal server DHCP di una vlan annunciata dalla rb2011 e trasportata sulla stessa LAN di cui sopra. A questo punto i client sono rindirizzati sulla macchina windows ad una specifica porta in ascolto.... e fin qui tutto ok .... normale prassi ... ma invece con il bilanciamento attivo i client non riescono a raggiungere la macchina windows ecc. ecc.

Il bilanciamento è stato realizzato in PCC ed ho controllato meticolosamente che ci fossero errori, raffrontando anche con la guida postata da Xanio, e sembrerebbe tutto ok, ma qualcosa non funge a dovere.
Ho fatto dei test e le regole nel mangle che sembrerebbero generare il problema sono :

add action=mark-connection chain=prerouting dst-address-type=!local \
in-interface=ether3-Master-local1 new-connection-mark=from_wan1-conn \
per-connection-classifier=both-addresses:3/0
add action=mark-connection chain=prerouting dst-address-type=!local \
in-interface=ether3-Master-local1 new-connection-mark=from_wan1-conn \
per-connection-classifier=both-addresses:3/1
add action=mark-connection chain=prerouting dst-address-type=local \
in-interface=ether3-Master-local1 new-connection-mark=from_wan2-conn \
per-connection-classifier=both-addresses:3/2

se disabilito una sola di queste regole o inserisco/levo “invert” sul Dst. Address Type i client raggiungono il portale correttamente (ma ovviamente il bilanciamento cessa di funzionare).

Se può aiutare nello scenario totale, oltre al bilanciamento di carico, gli unici servizi in piedi sono due vpn ipsec, un tunnel GRE, due server dhcp e l'annuncio di due vlan... tutto qui!!!

Ho fatto parecchie prova ma non sono ancora riuscito a venirne a capo!!!! … qualcuno può darmi qualche suggerimento per favore??!!!??

PS. ho provato anche a sostituire la 2011 con uno zywall 200 e con questo il problema in effetti non c'è ... e per salvare la faccia con il cliente attualmento l'ho lasciato montato ma voi capite bene che devo riuscire a risolvere e rimettere su la 2011 il prima possibile


Ciao e grazie a tutti.

[xanio]

Il problema potrebbe essere che tutto il traffico della tua lan viene matchato e fatto uscire da uno dei due gw wan...quindi imposta un eccezione inserendo come dst-address l'ip del tuo server interno. In questo modo dovrebbe andare.

[uniconnect]

onestamente ci avevo pensato ... ho fatto una regola di prerouting con destinazione il server e come match la subnet del server ma nn ha funzionato...

mi posti xfavore quale dovrebbe essere la regola secondo te?!

Grazie mille Xanio

[uniconnect]

ciao Xanio, ho risolto il problema anche se ha del pazzesco il come lo abbia fatto!! ... preso da sconforto ho provato a sostituire la rb2011 che dava il problema con altra (identica) ... ho fatto il backup della prima, l'ho ricaricato sulla seconda e l'ho attaccata alla rete.... problema risolto !!!! ummmmmmm!!!!! ....non ho aggiunto neanche una virgola alla configurazione eppure va!!!!! .... certo che è strano!!!!! ... ora piallo pa vecchia e vedo di fare un po' di test a tempo perso

ciao e tutti e buona giornata.