Traffic-Shapping auf IPSec-Interface?

changhe

Moin, moin!

Ich hab mich durchs Webinterface durchgehangelt, aber finde keine Option wie ich Traffic-Shapping in der IPSec-Verbindung aktiviere.

Ich erinner mich noch an den pf-Packetfilter von OpenBSD der eigentlich auf jedes Interface Trafficshaping aktivieren konnte.

Was ueberseh ich?

Ich benoetige Shapping im Ipsec-Tunnel vom VoIP-Traffic.

Jeder Hinweis ist willkommen!

changhe

Ich hab das Forum weiter durchsucht. Die meisten aelteren Artikel sagen: "not implemented yet".

Es gibt aber einen neuren Artikel, der sich auf die aktuelle Stable (1.2.3) bezieht:  http://forum.pfsense.org/index.php/topic,19985.msg106174.html#msg106174 geschrieben vom Administrator ermal am 19.11.2009 um 11:04:36.

Actually on 1.2.3 you can shape inside the tunnel but i am not sure if the rules allow this to be setuped.
On 2.0 it is surely possible.

So gehe ich mal davon aus, das es prinzipiell moeglich ist. Aber ermal weiss leider nicht wie. Hoffentlich kann hier jemand anders aushelfen.

Hier weiteres zum Setup:
Das shapping sollte in einem Ipsec-Tunnel geschehn. Als Endpunkte des Tunnels werden zwei pfsense 1.2.3 verwendet. Die pfsense des Office verfuegt ueber zwei WANs. Die schnellere Verbindung (25MBit VDSL (25088 kBit/s down / 5056 kBit/s up)) wird ausschliesslich fuer den IpSec-Tunnel genutzt. Dieser IpSec-tunnel wird nur fuer VoIP genutzt. Was das VoIP angeht, laeuft hier beides ueber den Tunnel: die Congestion und der VoIP-Traffic.

Fuer Datentransfer gibt es einen zweiten Tunnel zwischen Office und Rechenzentrum. Er wird zwischen einer AVM 7390 Fritzbox im Office und einem Linuxserver mit Openswan im Rechenzentrum aufgebaut. Dieser Tunnel wird  nicht fuer VoIP genutzt und ist auch nicht Thema dieses Threads. Er ist nur der vollstaendigkeit halber gelistet. das man sich nicht wundert, was mit den Daten passiert.

So wie es scheint, verursacht eine Congestion Qualitaetsprobleme in einem laufenden Gespraech. Dies ist keine gesicherte Erkenntnis, sondern nur eine Beobachtung, die auch eine Zufaelligkeit darstellen koennte. Als codec wird  G711 verwendet. Es gibt nicht mehr als 10 Calls zur selben Zeit.

Data-Traffic
            AVM7390–ADLS----#############----Gigabit-openswan--------------------+
                |            IPSec-Tunnel                                        |
                |                                                                |
                |            VoIP-Traffic                                        |
LAN---pfsense-office-VDLS----#############----Gigabit-pfsense-serverhousing---LAN(serverhousing)
                |            IPSec-Tunnel
                |
                +----ADSL-----Internet

heiko

Hallo,

nicht möglich auf 1.23, nur mit einer Spzialversion der 1.2 von Ermal. Drer Traffic Shaper is in der 2.0 komplett überarbeitet und bietet dort auch IPSec TS etc.

Regards
Heiko

changhe

@heiko:

Hallo,

nicht möglich auf 1.23, nur mit einer Spzialversion der 1.2 von Ermal. Drer Traffic Shaper is in der 2.0 komplett überarbeitet und bietet dort auch IPSec TS etc.

Danke fuer die Info! Werde ich den Upgrade nach 2.0 wohl demnaechst erwaegen muessen. Ich wollte eigentlich die Betaphase abwarten.

eazydor

läuft eigentlich wie geschmiert. bereits seit monaten. muss man aber immer im einzelfall sehen. probieren lohnt sich jedenfalls richtig.