PfSense & shaper & IPSec - у кого есть опыт ?

xyeba · Dec 24, 2009, 1:22 PM

дано:

в центре звезды имеется пфсенсе,
к нему приходит энное количество IPSec туннелей через дикий инет,
на пфсенсе канал допустим шириной мегабит,
на лучах каналы разной ширины, но все меньше мегабита.

собственно чего бы хотелось:

на каждый туннель иметь очередь, шириной не более чем может принять оконечный девайс,
в этой очереди, отрезать часть под VoIP сигнализацию, часть под RTP, часть под все остальное ….

я так понимаю на WAN очереди строить нельзя,
ибо в этот момент траффик уже будет инкапсулирован,
а после инкапсуляции голосовой трафф от остального не отделить ...
как быть ?

еще мне не очень понятен момент,
почему визард пфсенса строит очереди в обе стороны и в Up и в Down ...
ибо насколько я понимаю, шейпить можно только исходящий трафф ?

есть тут те кто использует шейпер на тоннелях ?

dvserg · Dec 24, 2009, 2:22 PM

Шейпить можно исходящий на интерфейсе, то есть все, что выходит из pfSense.
Поэтому то, что идет в инет шейпится на WAN, а что входит в локальную сеть шейпится на LAN.

xyeba · Dec 24, 2009, 4:33 PM

@dvserg:

Шейпить можно исходящий на интерфейсе, то есть все, что выходит из pfSense.
Поэтому то, что идет в инет шейпится на WAN, а что входит в локальную сеть шейпится на LAN.

теперь вроде вкурил,
получается что туннели надо шейпить на LAN …
но ... траффик то будет из LAN в LAN, это будет работать ?
в визарде не дает указать входящим и исходящим один и тот же интерфейс ...

xyeba · Dec 25, 2009, 8:53 AM

переформулирую вопрос

1. пакет приходит на LAN,
2. попадает под правила IPSec
3. упаковывается
4. уходит в упакованном виде с WAN

мне надо шейпить до того как он будет упакован!
как ?

xyeba · Dec 28, 2009, 7:12 AM

мусчины, ну скажите уже мне что шейпить трафф на пфсенсе до упаковки в туннель невозможно, что бы я успокоился … ?

ставить еще один роутер до пфсенса только для шейпинга - не вариант :(

zar0ku1 · Dec 28, 2009, 11:19 PM

@xyeba:

мусчины, ну скажите уже мне что шейпить трафф на пфсенсе до упаковки в туннель невозможно, что бы я успокоился … ?

ставить еще один роутер до пфсенса только для шейпинга - не вариант :(

пока pfsense еще мало что умеет, поэтому хз
самое первое что пришло на ум поставить коммутатор (зачем так роутер еще один не понял) и урезать скорость на порту коммутатора (так поступал я) но без pfsense

xyeba · Dec 29, 2009, 6:56 AM

@zar0ku1:

@xyeba:

мусчины, ну скажите уже мне что шейпить трафф на пфсенсе до упаковки в туннель невозможно, что бы я успокоился … ?

ставить еще один роутер до пфсенса только для шейпинга - не вариант :(

пока pfsense еще мало что умеет, поэтому хз
самое первое что пришло на ум поставить коммутатор (зачем так роутер еще один не понял) и урезать скорость на порту коммутатора (так поступал я) но без pfsense

не, все не так просто …
ибо туннелей далеко не один, а шейпить надо в каждый туннель по разному ... в зависимости от того в какой туннель падает, и типа траффика ...
так что коммутатор не летает - однозначно.