OK, sytuacja opanowana. Dwie sprawy: 1. MBUF, wiki pfsense: https://doc.pfsense.org/index.php/Tuning_and_Troubleshooting_Network_Cards Akurat moja karta to bce :-) 2. Uczniom najwidoczniej się nudzi na zajęciach, bo co jakiś czas puszczają flooda do sieci. Wypięcie kabla załatwia problem :-) Dzisiaj śmiga jak powinien. Opcja wymiany sprzetu do rozważenia, jak nam światłowód podłączą. Dzięki za wskazówki :-)

Proponuję użyć osobny router z modem LTE. On załatwi sprawę w 100%.

W PF nie ma takiej funkcji, albo po tylu latach jeszcze jej nie odkryłem. Ale na 95% nie ma.

Hej, na kartach jest ok. Zmieniliśmy konfiguracje na Squid i wygląda to znacznie lepiej. Na kartach jest czysto a faktycznie popatrze jeszcze na dyski w czasie godzin pracy.

No to masz przyczynę. Ściągaj operatora aż do skutku. Dobry kabel działa bez błędnie na odległość ponad 100m. Czasem wystarczy licha wtyczka albo źle zrobiona i będzie sypać błędami.

Używam tego rozwiązania od ok 4-5 lat. I na chwilę obecną nie zamieniłbym na inny produkt. Tym bardziej iż miesięcznie router mi przerzuca po sieci ok 1TB danych między vlan-ami. Gotowe rozwiązanie jest zdecydowanie za drogie. Bezpieczeństwo także jest na wysokim poziomie.

Byś widział jakie jest obciążenie każdego z vlanów doinstaluj paczkę: Status_Traffic_Totals A żeby zobaczyć który IP aktualnie ciagnie za dużo to zobaczysz w: Status -> Traffic Graph (tu już sobie definiujesz który vlan chcesz oglądać) Byś miał pełną kontrolę postaw sobie proxy (squid+squidGuard) to będziesz wiedział co kto i ile czego ściąga. I w razie co zablokujesz komunikację z konkretnymi domenami. Poza tym w limiterze możesz zrobić tak że dany vlan może mieć do dyspozycji 10Mb/s i więcej nie pójdzie bez znaczenia ile jest hostów. A możesz też ustawić że ten limit będzie przypisane dla każdego adresu co w efekcie wysyci łącze. Wszystko zależy co wybierzesz przy konfiguracji limitera w polu "mask": none: limit przypisane ogólnie bez znaczenia na ilość hostów. (2 klientów ściąga duży plik= wysycenie łącza) source addresses: ustawiony limit działa na każdego hosta z osobna (10 klientów ściąga duży plik = suma poobierania dla wszystkich nie przekroczy wartości zdefiniowanej) destination addresses: np dla strony internetowej. Nie pójdzie więcej niż.

witam bardzo dziękuję - jest tak jak mówisz, jeśli ktoś używa Squidguard-a to tam ustawia się komunikat dla np kategorii jesli zablokuje cos w samym Squid to wlasnie - nie wiem skąd pochodzi komunikat zablokowanej strony

O ile pamiętam to obie anteny są używane. Jedna nadaje druga odbiera.

Ok, problem rozwiązany. Wynikał z infrastruktury sieciowej firmy. Teraz śmiga wszystko jak powinno  ;D

Jak w takim wypadku zrobić to elegancko? Chciałbym wydzielić odrębną sieć dla gości, wyciąłem ją na vlanach, wchodzi w odrębny interface OPT2 w pfsense. Ruch pomiędzy sieciami lokalnymi jest blokowany. Jednak jeśli bym chciał dostać się do jakiejś usługi w sieci LAN to mam jakąś możliwość ruchu przez WAN?

Szczerze? to nie wiele… zmieniłam tylko IP z linii serwera, gdzie tam się zapytał o certyfikaty.

W metroethernet dostajesz pule adresów ip. Co chcesz osiągnąć: routing dla sieci wewnętrznej, przypisać adresy ip zewnętrzne dla komputerów w sieci? Wszystko opisane w dokumentacji.

Wszystko znajdziesz w sieci.

https://doc.pfsense.org/index.php/L2TP/IPsec Czy SERVER ADDRESS i REMOTE ADDRESS RANGE nie powinny być w tym samym zakresie? N.p. 10.10.9.2  i 10.10.9.128 A czy z komputera łączysz się po IP czy po URL do serwera?

Dodam, ze mozecie uzyc pfBlockerNG do tego. Przyklad https://js4.red/r/PFSENSE/comments/40q0f9/L/cyxdrxl

Doproś się od operatora wymiany tego wynalazku na model znacznie wydajniejszy.

Port do którego wpięty jest pfsense winien mieć status "trunk" i mieć przypisane vlany jakieś oczekujesz. 1 jako nietagowany i tagowany 100. Następnie drugi komputer wpinasz w port nietagowane 100 albo tagowane jeśli karta sieciowa w komputerze wspiera ten standard. Karta sieciowa w pfsense też musi wspierać ten standard  (IEEE 802.1Q) bez tego nie będzie to działać.