[TIP] Traffic Shaping 2.0.1

agismaniax

ok deh… mo update dulu ke snapshot paling akhir.  ;)
sudah diupdate tetap saja limiter utk incoming di WAN interface gak berfungsi pada floating rules.
dicoba di 2.0.1-RELEASE juga gak bisa... aneh nih. atau gara2 disebabkan oleh transparant proxy?

???

pfz

@agismaniax:

dicoba di 2.0.1-RELEASE juga gak bisa… aneh nih. atau gara2 disebabkan oleh transparant proxy?

???

Harusnya Transparant proxy gak berpengaruh.
Lha Limiter itu berdiri sendiri ..

Dugaan kuat kesalahan pada firewall rules nya.

agismaniax

@PakDe:

Harusnya Transparant proxy gak berpengaruh.
Lha Limiter itu berdiri sendiri ..

Dugaan kuat kesalahan pada firewall rules nya.

gambarnya kurang. firewall yg ini ada 2 WAN, 1 LAN.
Limiter interface WAN2 di Floating Rules gak berfungsi.

pfz

ya.. coba perhatikan tuh.. rulesnya.. …

dengan rules seperti itu.. kalo ditest speed test bw hasilnya sesuai dengan yg diharapkan (sesuai set limitnya)?
sudah dipastikan gak sesuai !!

agismaniax

@PakDe:

ya.. coba perhatikan tuh.. rulesnya.. …

dengan rules seperti itu.. kalo ditest speed test bw hasilnya sesuai dengan yg diharapkan (sesuai set limitnya)?
sudah dipastikan gak sesuai !!

@dreamslacker:

Now go to Floating Tab.
Create a new rule and make sure it is right at the top of the list.
For Action select 'Queue' or 'Pass'.
Check 'Apply the action immediately on match.'
For Interface select 'WAN'
Select 'In' for Direction.
For Protocol select 'Any'.
For Source select 'Any'
For Destination enter 'Single host or alias'
For Address enter '192.168.2.100'

Scroll down to 'Advanced Features'
Go to 'Schedules'.
Select the schedule you created.
Go to 'In/ Out'.
Under the first (left side box) select the download limiter you created.
Save the rule.

Gak sesuainya dimana kah?

pfz

Lho. Dgn konfigurasi tsb, apakah, JIKA di test dg speedtest bandwith hasinya sesuai dgn yg diharapkan ?

agismaniax

@PakDe:

Lho. Dgn konfigurasi tsb, apakah, JIKA di test dg speedtest bandwith hasinya sesuai dgn yg diharapkan ?

Traffic Incoming WAN interface menuju ip grup DEVELOPMENT tidak masuk ke pipa Down256.
Traffic Incoming LAN interface dari ip grup DEVELOPMENT sudah masuk ke pipa Up256.
Pendek kata: Download masih unlimited, Upload sudah terlimit.

pfz

Nah singkat kata, apa yg menjadi problemnya?
Kalo konfig diatas sdh berjalan, skrg konfig nya tinggal sesuaikan dg problem yg ada.

agismaniax

@PakDe:

Nah singkat kata, apa yg menjadi problemnya?
Kalo konfig diatas sdh berjalan, skrg konfig nya tinggal sesuaikan dg problem yg ada.

KAN sudah dibilang limiter di WAN tidak berjalan. Itu masalahnya!
Anda gak baca skenario yang sudah saya tulis sebelumnya?

pfz

Eeaaa… Sobar Sobar ...ya..
Nah tadi dipost diatas sudh saya katakan " ... Pasti tidak sesuai"..
Kemudian ... " Konfig . Sesuaikan dg kondisi problem anda.

Nah tinggal dibolak balik saja set nya kenapa gak dicoba dilakukan.

Problemnya anda terletak di rules nya.

agismaniax

@PakDe:

Eeaaa… Sobar Sobar ...ya..
Nah tadi dipost diatas sudh saya katakan " ... Pasti tidak sesuai"..
Kemudian ... " Konfig . Sesuaikan dg kondisi problem anda.

Nah tinggal dibolak balik saja set nya kenapa gak dicoba dilakukan.

Problemnya anda terletak di rules nya.

Sebelum saya posting disini, saya sudah cari2 postingan di thread lain mengenai traffic shapping. Step2nya hampir sama. Dan sudah dicoba semua kemungkinan, tapi hasilnya masih tidak sesuai harapan.
Jika anda 'merasa' tahu masalahnya ada di rules, di bagian mana yang gak benar? Langsung tunjuk saja dan gak perlu mutar2.
Dan kalau anda gak mau sharing ilmu, that's OK.

pfz

Kalo Anda sudah mencari postingan yg di forum.pfsense.org akan tetapi menurut anda semuanya gak bisa diterapkan sesuai dg selera Anda.

Banyak postingan diforum (Limiter) ini apabila di terapkan bisa berjalan dg normal.

Kalo anda merasa kurang puas ini ada link dipastikan bisa menjawab semua problem anda : https://portal.pfsense.org/

pfz

Kali ini cara membuat LIMITER di Pfsense 2.01

Buka Limiter :
langkah 1

Enable limiter and its children : Ceklist
Name : download
Bandwidth : 512
Mask      Source adress
Description : terserah

save

langkah 2

Enable limiter and its children : Ceklist
Name : upload
Bandwidth : 512
Mask      : destinations adress
Description : terserah

save

Kemudian di floating

Action : Queue
Quick  : ceklist
Interface : WAN (pilihan ini sebenarnya
terserah anda sesuai kebutuhan) dalam hal ini saya pakai WAN
Direction : out
In/out : plih upload/download (sesuai yg dibuat tadi)

save

test speed internetnya sesuai dengan yg disetting gak ?

Kalo ada yang test tolong reportnya, biar dilanjutin lagi.

Koreksi saya kalo ada yang salah. Thanks.

Semoga bermanfaat

extreemblank

begini pak de.

ada yg miss, dalam traffict shaping, itu sebabnya limiter per ip tidak pernah bisa maksimal.

misal : koneksi ke port 80

ketika kita melimit suatu ip client, misalnya 192.168.2.3, maka koneksi yang terjadi di adalah 192.168.2.3:xxxx  -> internet:80

di situ terlihat src address adalah 192.168.2.3 dan src port xxxx ( random). koneksi seperti ini bisa dgn mudah di limitkan.

Namun pada saat proxy diaktifkan, maka semua request ke port 80 tadi di redirect ke ip nya proxy, sehingga koneksi menjadi ip proxy:xxxx -> internet -> 80.

maka limitasi yang menggunakan src address awal 192.168.2.3 menuju internet tidak terbaca.

yang ada hanya 192.168.2.3:xxxx -> ip proxy:8080 ( requestnya  ini yang kena limit ), sementara koneksi aslinya  ip proxy:xxxx -> internet -> 80 tidak terlimit.

efeknya idm melaju maksimal menuju max bandwidth yang ada. paling cuma tersendat2 sebentar ( karena request menuju proxynya yg terlimit), sementara request proxy menuju luar tidak.

pfz

@extreemblank:

ada yg miss, dalam traffict shaping, itu sebabnya limiter per ip tidak pernah bisa maksimal.

Ooow..
Cara test LImITEr sudah berjalan atau tidak harus ditest speednya. Jika sudah sesuai dengan yang di set up/down nya, maka limiter dapat berjalan dengan baik. Tapi kalo belum pasti ada yang miss.

Begini.. Kita coba satu persatu mulai dari yg mudah dulu.
Nah . Kalo tadi src 192.168.2.3 ke Any dan port any apa hasilnya. ?

Seharusnya Limiter efektif untuk limit per user (per IP). IDM dan file p2p (torrent, sejenisnya) bisa di handle dengan baik hanya dengan LIMiter saja.
(Tanpa menggunakan L7).

Dengan src IP to any .. Any ..

Kemudian cara kedua, throutle lewat proxy juga bisa membikin limit IDM.

Tolong reportnya.

Cara ketiga ..

Keempat….

Kalo boleh tahu rule yg dibuat seperti apa?

Kita samakan persepsinya.

spc

@extreemblank:

begini pak de.

ada yg miss, dalam traffict shaping, itu sebabnya limiter per ip tidak pernah bisa maksimal.

misal : koneksi ke port 80

ketika kita melimit suatu ip client, misalnya 192.168.2.3, maka koneksi yang terjadi di adalah 192.168.2.3:xxxx  -> internet:80

di situ terlihat src address adalah 192.168.2.3 dan src port xxxx ( random). koneksi seperti ini bisa dgn mudah di limitkan.

Namun pada saat proxy diaktifkan, maka semua request ke port 80 tadi di redirect ke ip nya proxy, sehingga koneksi menjadi ip proxy:xxxx -> internet -> 80.

maka limitasi yang menggunakan src address awal 192.168.2.3 menuju internet tidak terbaca.

yang ada hanya 192.168.2.3:xxxx -> ip proxy:8080 ( requestnya  ini yang kena limit ), sementara koneksi aslinya  ip proxy:xxxx -> internet -> 80 tidak terlimit.

efeknya idm melaju maksimal menuju max bandwidth yang ada. paling cuma tersendat2 sebentar ( karena request menuju proxynya yg terlimit), sementara request proxy menuju luar tidak.

ASS WR WB
Salam PFSI

Teman-teman pencinta pf sekalian, kemarin saya baca perkembangan thread ini.
Beberapa cara udah saya test dan beberapa hasilnya tested. Mungkin kemudian
saya akan memberikan sedikit share, yang belum tentu solved. Tapi paling tidak
bisa dijadikan pilihan yang mana paling sesuai dengan topografi masing-masing
jaringan yang dimiliki.

Demikian, maju terus pfsense

Salam PFSI
WSS WR WB

pfz

Sesuaikan dengan Topografi Jaringan masing-masing.

Pemahaman yang sederhana cara set limiter. TIdak memerlukan trffic shaping wizard. Kalo sudah terlanjur di delete TSW nya.

Buka Limiter :
Ke -1
Enable limiter and its children : Ceklist
Name : download
Bandwidth : 512
Mask      Source adress
Description :
save

Ke  2
Enable limiter and its children : Ceklist
Name : upload
Bandwidth : 512
Mask      : destinations adress
Description : terserah
save

Buat Rules di LAN
Action. : Pass
Interface: Lan
Proto: Any
Source : Ip ( set per IP)
Destinations : Any
Destinations port range : any
–

In/Out : isikan Upload/download yg dibuat dilimiter.
Save.

Catatan :

Setting Limiter seperti ini total melimit semua source IP ke semua  destinations. Tak peduli itu destination ke cache proxy.

Jadi harus nya kalo di test speed hasilnya juga sama dgn yg di sett di limiter.
Perlu di ingat BW : 512 Kb itu kalo untuk mendownload kira2 real maksimum dapat kecepatan sekitar : 64 KB.

Dengan cara diatas tersebut sudah berjalan di tempat saya.

Semoga bermanfaat.

extreemblank

Beginilah yang terjadi pada saat koneksi yang proxynya enable

topologi
modem   –-> pfsense ---> client

ip modem = 192.168.0.1
ip pfsense wan = 192.168.0.2
ip pfsense lan = 192.168.2.1

ip  client yg konek = 192.168.2.3

begini sample data dari pftop

1.  tcp   I 192.168.2.3:2579         127.0.0.1:80        
2.  tcp   O 192.168.0.2:62084       173.194.38.160:80
3.  icmp  I 192.168.2.3:0              8.8.8.8:1280          
4.  icmp  O 192.168.2.3:1280        8.8.8.8:0

terlihat di sana pada saat aktivitas browsing/download dan nge ping ke 8.8.8.8 google DNS.
step 1. Browsing diarahkan ke transparent proxy yg residen di pfsense 127.0.0.1
step 2. pfsense itu yg ngambil datanya ke internet dalam hal ini kebetulan ip pfsense saya 192.168.0.2 interface wan / em0

Dengan src IP to any .. Any ..
maka yang di limit adalah 192.168.2.3 ke LAN nya pfsense (127.0.0.1:80) tadi, hanya permintaannya saja yg di limit,
sementara proxy / WAN yang mendownloadnya bypass kan ? ( 2.  tcp   O 192.168.0.2:62084       173.194.38.160:80 )

pfz

@extreemblank:

Beginilah yang terjadi pada saat koneksi yang proxynya enable

Dengan src IP to any .. Any ..
maka yang di limit adalah 192.168.2.3 ke LAN nya pfsense (127.0.0.1:80) tadi, hanya permintaannya saja yg di limit,
sementara proxy / WAN yang mendownloadnya bypass kan ?

Ya itu dari log src ke dst.
Tp bagaimana dengan firewall rulesnya. Yg dibuat ?

Jangan2 anda mengkatifkan fetch di proxy nya. Kalo diceklist tentu proxy akan melakukan download otomatis ke alamat ip yg dituju ole client. Atau proxy akan melkanjutkan file yg tadinya di tuju oleh client yang belum selesai. Misal download file yg belum tuntas oleh client akan dilanjutkan oleh proxy (ip wan pf)

Terakhir kali sebelum edit post ini saya test dgn kondisi diatas tetap IP Lan terlimit ke semua destinations. Dengan proxy (lusca enable).

Selebihnya kalo enggak berjalan, saya kurang begitu paham. Mohon dimaklumi.

extreemblank

@PakDe:

Sesuaikan dengan Topografi Jaringan masing-masing.

Pemahaman yang sederhana cara set limiter. TIdak memerlukan trffic shaping wizard. Kalo sudah terlanjur di delete TSW nya.

Buka Limiter :
Ke -1
Enable limiter and its children : Ceklist
Name : download
Bandwidth : 512
Mask       Source adress
Description :
save

Ke  2
Enable limiter and its children : Ceklist
Name : upload
Bandwidth : 512
Mask      : destinations adress
Description : terserah
save

Buat Rules di LAN
Action. : Pass
Interface: Lan
Proto: Any
Source : Ip ( set per IP)
Destinations : Any
Destinations port range : any
–

In/Out : isikan Upload/download yg dibuat dilimiter.
Save.

Catatan :

Setting Limiter seperti ini total melimit semua source IP ke semua  destinations. Tak peduli itu destination ke cache proxy.

Jadi harus nya kalo di test speed hasilnya juga sama dgn yg di sett di limiter.
Perlu di ingat BW : 512 Kb itu kalo untuk mendownload kira2 real maksimum dapat kecepatan sekitar : 64 KB.

Dengan cara diatas tersebut sudah berjalan di tempat saya.

Semoga bermanfaat.

sudah saya coba pakde, saya limit ke 50 kbits, baik download maupun upload.
efeknya memang sepertinya terlimit,
tapi kalo kita lihat grafik wan di dashboard, maka akan nampak naik dan turun, artinya bahwa memang pada saat wan request ada sedikit loss di sini,
buktinya IDM terlihat ngejan2 speednya juga turun naik di range 2KB sampai 15KB kalo di saya ( padahal dilimit 50 kbits = 6,25 KB maxnya mestinya.) , mungkin karena pengirimannya yang di delay2kan.

sebagai contoh saat tidak ada koneksi ping stabil di sekitar 45 s.d 60
Reply from 8.8.8.8: bytes=0 time=45ms TTL=49
Reply from 8.8.8.8: bytes=0 time=52ms TTL=49
Reply from 8.8.8.8: bytes=0 time=57ms TTL=49
Reply from 8.8.8.8: bytes=0 time=55ms TTL=49

pada saat IDM click tombol start maka ping akan naik lamanya sekitar 5 sd 10 sec
Reply from 8.8.8.8: bytes=0 time=904ms TTL=49
Reply from 8.8.8.8: bytes=0 time=920ms TTL=49
Reply from 8.8.8.8: bytes=0 time=886ms TTL=49
Reply from 8.8.8.8: bytes=0 time=549ms TTL=49
Reply from 8.8.8.8: bytes=0 time=621ms TTL=49
Reply from 8.8.8.8: bytes=0 time=799ms TTL=49
Reply from 8.8.8.8: bytes=0 time=895ms TTL=49
Reply from 8.8.8.8: bytes=0 time=829ms TTL=49
Reply from 8.8.8.8: bytes=0 time=816ms TTL=49

baru kemudian dia mulai berangsur turun lagi dan stabil beberapa saat,
Reply from 8.8.8.8: bytes=0 time=721ms TTL=49
Reply from 8.8.8.8: bytes=0 time=853ms TTL=49
Reply from 8.8.8.8: bytes=0 time=166ms TTL=49
Reply from 8.8.8.8: bytes=0 time=200ms TTL=49
Reply from 8.8.8.8: bytes=0 time=150ms TTL=49
Reply from 8.8.8.8: bytes=0 time=48ms TTL=49
Reply from 8.8.8.8: bytes=0 time=57ms TTL=49
Reply from 8.8.8.8: bytes=0 time=50ms TTL=49
Reply from 8.8.8.8: bytes=0 time=57ms TTL=49
Reply from 8.8.8.8: bytes=0 time=80ms TTL=49

sewaktu2 nanti kembali naik lagi sedikit
Reply from 8.8.8.8: bytes=0 time=394ms TTL=49
Reply from 8.8.8.8: bytes=0 time=244ms TTL=49 Reply from 8.8.8.8: bytes=0 time=57ms TTL=49
Reply from 8.8.8.8: bytes=0 time=53ms TTL=49
Reply from 8.8.8.8: bytes=0 time=52ms TTL=49

awalnya saya berasumsi ping ini disebabkan komputer yg digunakan itu yang kehabisan saluran 50 kbits, ternyata di komputer lain juga terjadi spikes ping yang serupa.

padahal sudah dilimit 50 kbps,  masih ada space sekitar 800an kbps ( padahal 1 Mb iklannya) yang longgar untuk client yang lain untuk lewat ( yang dilimit cuma 1 pc client ), mestinya sangat2 lebar jalur icmp untuk lewat, tapi kenapa bisa spikes seperti itu.

Hasilnya : Ketika di coba test main game sejenis dota, maka terjadi lags sekitar 10 s.d 15 sec, kemudian lancar beberapa saat lalu sekitar 1 menitan lagi lag lagi beberapa detik demikian terus, ini kalo di pemain maniacnya sudah tidak ditolerir apalgi kalo lagi warnya.

lag sekitar 15 sec, persis seperti ping tsb., cuma kalo di game2 sejenis dota,  seprtinya terasa banget.

**ane test cuma di 2 pc saja, 1 di limit 50 kbits, dan satunya tidak di limit pfsense menggunakan Intel Xeon DUA CPU E5506 @ 2.13GHz, memory 4G dan HDD 2G pfsense 2.0.2-RELEASE (i386) **

nb. kalo proxy dinon aktifkan, memang sedikit membantu, hanya saja sesaat setelah IDM diklik start ping tetap tinggi utk beberapa detik, pada saat itu juga gamenya lags… itu baru ditest saya sendiri yang IDM, kalo diwarnet bisa minimal 2 sd 3 yg klik start / resume IDMan.