PfSense & shaper & IPSec - у кого есть опыт ?
-
дано:
в центре звезды имеется пфсенсе,
к нему приходит энное количество IPSec туннелей через дикий инет,
на пфсенсе канал допустим шириной мегабит,
на лучах каналы разной ширины, но все меньше мегабита.собственно чего бы хотелось:
на каждый туннель иметь очередь, шириной не более чем может принять оконечный девайс,
в этой очереди, отрезать часть под VoIP сигнализацию, часть под RTP, часть под все остальное ….я так понимаю на WAN очереди строить нельзя,
ибо в этот момент траффик уже будет инкапсулирован,
а после инкапсуляции голосовой трафф от остального не отделить ...
как быть ?еще мне не очень понятен момент,
почему визард пфсенса строит очереди в обе стороны и в Up и в Down ...
ибо насколько я понимаю, шейпить можно только исходящий трафф ?есть тут те кто использует шейпер на тоннелях ?
-
Шейпить можно исходящий на интерфейсе, то есть все, что выходит из pfSense.
Поэтому то, что идет в инет шейпится на WAN, а что входит в локальную сеть шейпится на LAN. -
Шейпить можно исходящий на интерфейсе, то есть все, что выходит из pfSense.
Поэтому то, что идет в инет шейпится на WAN, а что входит в локальную сеть шейпится на LAN.теперь вроде вкурил,
получается что туннели надо шейпить на LAN …
но ... траффик то будет из LAN в LAN, это будет работать ?
в визарде не дает указать входящим и исходящим один и тот же интерфейс ... -
переформулирую вопрос
1. пакет приходит на LAN,
2. попадает под правила IPSec
3. упаковывается
4. уходит в упакованном виде с WANмне надо шейпить до того как он будет упакован!
как ? -
мусчины, ну скажите уже мне что шейпить трафф на пфсенсе до упаковки в туннель невозможно, что бы я успокоился … ?
ставить еще один роутер до пфсенса только для шейпинга - не вариант :(
-
мусчины, ну скажите уже мне что шейпить трафф на пфсенсе до упаковки в туннель невозможно, что бы я успокоился … ?
ставить еще один роутер до пфсенса только для шейпинга - не вариант :(
пока pfsense еще мало что умеет, поэтому хз
самое первое что пришло на ум поставить коммутатор (зачем так роутер еще один не понял) и урезать скорость на порту коммутатора (так поступал я) но без pfsense -
мусчины, ну скажите уже мне что шейпить трафф на пфсенсе до упаковки в туннель невозможно, что бы я успокоился … ?
ставить еще один роутер до пфсенса только для шейпинга - не вариант :(
пока pfsense еще мало что умеет, поэтому хз
самое первое что пришло на ум поставить коммутатор (зачем так роутер еще один не понял) и урезать скорость на порту коммутатора (так поступал я) но без pfsenseне, все не так просто …
ибо туннелей далеко не один, а шейпить надо в каждый туннель по разному ... в зависимости от того в какой туннель падает, и типа траффика ...
так что коммутатор не летает - однозначно.