[TIP] Traffic Shaping 2.0.1

pfz

Nah singkat kata, apa yg menjadi problemnya?
Kalo konfig diatas sdh berjalan, skrg konfig nya tinggal sesuaikan dg problem yg ada.

agismaniax

@PakDe:

Nah singkat kata, apa yg menjadi problemnya?
Kalo konfig diatas sdh berjalan, skrg konfig nya tinggal sesuaikan dg problem yg ada.

KAN sudah dibilang limiter di WAN tidak berjalan. Itu masalahnya!
Anda gak baca skenario yang sudah saya tulis sebelumnya?

pfz

Eeaaa… Sobar Sobar ...ya..
Nah tadi dipost diatas sudh saya katakan " ... Pasti tidak sesuai"..
Kemudian ... " Konfig . Sesuaikan dg kondisi problem anda.

Nah tinggal dibolak balik saja set nya kenapa gak dicoba dilakukan.

Problemnya anda terletak di rules nya.

agismaniax

@PakDe:

Eeaaa… Sobar Sobar ...ya..
Nah tadi dipost diatas sudh saya katakan " ... Pasti tidak sesuai"..
Kemudian ... " Konfig . Sesuaikan dg kondisi problem anda.

Nah tinggal dibolak balik saja set nya kenapa gak dicoba dilakukan.

Problemnya anda terletak di rules nya.

Sebelum saya posting disini, saya sudah cari2 postingan di thread lain mengenai traffic shapping. Step2nya hampir sama. Dan sudah dicoba semua kemungkinan, tapi hasilnya masih tidak sesuai harapan.
Jika anda 'merasa' tahu masalahnya ada di rules, di bagian mana yang gak benar? Langsung tunjuk saja dan gak perlu mutar2.
Dan kalau anda gak mau sharing ilmu, that's OK.

pfz

Kalo Anda sudah mencari postingan yg di forum.pfsense.org akan tetapi menurut anda semuanya gak bisa diterapkan sesuai dg selera Anda.

Banyak postingan diforum (Limiter) ini apabila di terapkan bisa berjalan dg normal.

Kalo anda merasa kurang puas ini ada link dipastikan bisa menjawab semua problem anda : https://portal.pfsense.org/

pfz

Kali ini cara membuat LIMITER di Pfsense 2.01

Buka Limiter :
langkah 1

Enable limiter and its children : Ceklist
Name : download
Bandwidth : 512
Mask      Source adress
Description : terserah

save

langkah 2

Enable limiter and its children : Ceklist
Name : upload
Bandwidth : 512
Mask      : destinations adress
Description : terserah

save

Kemudian di floating

Action : Queue
Quick  : ceklist
Interface : WAN (pilihan ini sebenarnya
terserah anda sesuai kebutuhan) dalam hal ini saya pakai WAN
Direction : out
In/out : plih upload/download (sesuai yg dibuat tadi)

save

test speed internetnya sesuai dengan yg disetting gak ?

Kalo ada yang test tolong reportnya, biar dilanjutin lagi.

Koreksi saya kalo ada yang salah. Thanks.

Semoga bermanfaat

extreemblank

begini pak de.

ada yg miss, dalam traffict shaping, itu sebabnya limiter per ip tidak pernah bisa maksimal.

misal : koneksi ke port 80

ketika kita melimit suatu ip client, misalnya 192.168.2.3, maka koneksi yang terjadi di adalah 192.168.2.3:xxxx  -> internet:80

di situ terlihat src address adalah 192.168.2.3 dan src port xxxx ( random). koneksi seperti ini bisa dgn mudah di limitkan.

Namun pada saat proxy diaktifkan, maka semua request ke port 80 tadi di redirect ke ip nya proxy, sehingga koneksi menjadi ip proxy:xxxx -> internet -> 80.

maka limitasi yang menggunakan src address awal 192.168.2.3 menuju internet tidak terbaca.

yang ada hanya 192.168.2.3:xxxx -> ip proxy:8080 ( requestnya  ini yang kena limit ), sementara koneksi aslinya  ip proxy:xxxx -> internet -> 80 tidak terlimit.

efeknya idm melaju maksimal menuju max bandwidth yang ada. paling cuma tersendat2 sebentar ( karena request menuju proxynya yg terlimit), sementara request proxy menuju luar tidak.

pfz

@extreemblank:

ada yg miss, dalam traffict shaping, itu sebabnya limiter per ip tidak pernah bisa maksimal.

Ooow..
Cara test LImITEr sudah berjalan atau tidak harus ditest speednya. Jika sudah sesuai dengan yang di set up/down nya, maka limiter dapat berjalan dengan baik. Tapi kalo belum pasti ada yang miss.

Begini.. Kita coba satu persatu mulai dari yg mudah dulu.
Nah . Kalo tadi src 192.168.2.3 ke Any dan port any apa hasilnya. ?

Seharusnya Limiter efektif untuk limit per user (per IP). IDM dan file p2p (torrent, sejenisnya) bisa di handle dengan baik hanya dengan LIMiter saja.
(Tanpa menggunakan L7).

Dengan src IP to any .. Any ..

Kemudian cara kedua, throutle lewat proxy juga bisa membikin limit IDM.

Tolong reportnya.

Cara ketiga ..

Keempat….

Kalo boleh tahu rule yg dibuat seperti apa?

Kita samakan persepsinya.

spc

@extreemblank:

begini pak de.

ada yg miss, dalam traffict shaping, itu sebabnya limiter per ip tidak pernah bisa maksimal.

misal : koneksi ke port 80

ketika kita melimit suatu ip client, misalnya 192.168.2.3, maka koneksi yang terjadi di adalah 192.168.2.3:xxxx  -> internet:80

di situ terlihat src address adalah 192.168.2.3 dan src port xxxx ( random). koneksi seperti ini bisa dgn mudah di limitkan.

Namun pada saat proxy diaktifkan, maka semua request ke port 80 tadi di redirect ke ip nya proxy, sehingga koneksi menjadi ip proxy:xxxx -> internet -> 80.

maka limitasi yang menggunakan src address awal 192.168.2.3 menuju internet tidak terbaca.

yang ada hanya 192.168.2.3:xxxx -> ip proxy:8080 ( requestnya  ini yang kena limit ), sementara koneksi aslinya  ip proxy:xxxx -> internet -> 80 tidak terlimit.

efeknya idm melaju maksimal menuju max bandwidth yang ada. paling cuma tersendat2 sebentar ( karena request menuju proxynya yg terlimit), sementara request proxy menuju luar tidak.

ASS WR WB
Salam PFSI

Teman-teman pencinta pf sekalian, kemarin saya baca perkembangan thread ini.
Beberapa cara udah saya test dan beberapa hasilnya tested. Mungkin kemudian
saya akan memberikan sedikit share, yang belum tentu solved. Tapi paling tidak
bisa dijadikan pilihan yang mana paling sesuai dengan topografi masing-masing
jaringan yang dimiliki.

Demikian, maju terus pfsense

Salam PFSI
WSS WR WB

pfz

Sesuaikan dengan Topografi Jaringan masing-masing.

Pemahaman yang sederhana cara set limiter. TIdak memerlukan trffic shaping wizard. Kalo sudah terlanjur di delete TSW nya.

Buka Limiter :
Ke -1
Enable limiter and its children : Ceklist
Name : download
Bandwidth : 512
Mask      Source adress
Description :
save

Ke  2
Enable limiter and its children : Ceklist
Name : upload
Bandwidth : 512
Mask      : destinations adress
Description : terserah
save

Buat Rules di LAN
Action. : Pass
Interface: Lan
Proto: Any
Source : Ip ( set per IP)
Destinations : Any
Destinations port range : any
–

In/Out : isikan Upload/download yg dibuat dilimiter.
Save.

Catatan :

Setting Limiter seperti ini total melimit semua source IP ke semua  destinations. Tak peduli itu destination ke cache proxy.

Jadi harus nya kalo di test speed hasilnya juga sama dgn yg di sett di limiter.
Perlu di ingat BW : 512 Kb itu kalo untuk mendownload kira2 real maksimum dapat kecepatan sekitar : 64 KB.

Dengan cara diatas tersebut sudah berjalan di tempat saya.

Semoga bermanfaat.

extreemblank

Beginilah yang terjadi pada saat koneksi yang proxynya enable

topologi
modem   –-> pfsense ---> client

ip modem = 192.168.0.1
ip pfsense wan = 192.168.0.2
ip pfsense lan = 192.168.2.1

ip  client yg konek = 192.168.2.3

begini sample data dari pftop

1.  tcp   I 192.168.2.3:2579         127.0.0.1:80        
2.  tcp   O 192.168.0.2:62084       173.194.38.160:80
3.  icmp  I 192.168.2.3:0              8.8.8.8:1280          
4.  icmp  O 192.168.2.3:1280        8.8.8.8:0

terlihat di sana pada saat aktivitas browsing/download dan nge ping ke 8.8.8.8 google DNS.
step 1. Browsing diarahkan ke transparent proxy yg residen di pfsense 127.0.0.1
step 2. pfsense itu yg ngambil datanya ke internet dalam hal ini kebetulan ip pfsense saya 192.168.0.2 interface wan / em0

Dengan src IP to any .. Any ..
maka yang di limit adalah 192.168.2.3 ke LAN nya pfsense (127.0.0.1:80) tadi, hanya permintaannya saja yg di limit,
sementara proxy / WAN yang mendownloadnya bypass kan ? ( 2.  tcp   O 192.168.0.2:62084       173.194.38.160:80 )

pfz

@extreemblank:

Beginilah yang terjadi pada saat koneksi yang proxynya enable

Dengan src IP to any .. Any ..
maka yang di limit adalah 192.168.2.3 ke LAN nya pfsense (127.0.0.1:80) tadi, hanya permintaannya saja yg di limit,
sementara proxy / WAN yang mendownloadnya bypass kan ?

Ya itu dari log src ke dst.
Tp bagaimana dengan firewall rulesnya. Yg dibuat ?

Jangan2 anda mengkatifkan fetch di proxy nya. Kalo diceklist tentu proxy akan melakukan download otomatis ke alamat ip yg dituju ole client. Atau proxy akan melkanjutkan file yg tadinya di tuju oleh client yang belum selesai. Misal download file yg belum tuntas oleh client akan dilanjutkan oleh proxy (ip wan pf)

Terakhir kali sebelum edit post ini saya test dgn kondisi diatas tetap IP Lan terlimit ke semua destinations. Dengan proxy (lusca enable).

Selebihnya kalo enggak berjalan, saya kurang begitu paham. Mohon dimaklumi.

extreemblank

@PakDe:

Sesuaikan dengan Topografi Jaringan masing-masing.

Pemahaman yang sederhana cara set limiter. TIdak memerlukan trffic shaping wizard. Kalo sudah terlanjur di delete TSW nya.

Buka Limiter :
Ke -1
Enable limiter and its children : Ceklist
Name : download
Bandwidth : 512
Mask       Source adress
Description :
save

Ke  2
Enable limiter and its children : Ceklist
Name : upload
Bandwidth : 512
Mask      : destinations adress
Description : terserah
save

Buat Rules di LAN
Action. : Pass
Interface: Lan
Proto: Any
Source : Ip ( set per IP)
Destinations : Any
Destinations port range : any
–

In/Out : isikan Upload/download yg dibuat dilimiter.
Save.

Catatan :

Setting Limiter seperti ini total melimit semua source IP ke semua  destinations. Tak peduli itu destination ke cache proxy.

Jadi harus nya kalo di test speed hasilnya juga sama dgn yg di sett di limiter.
Perlu di ingat BW : 512 Kb itu kalo untuk mendownload kira2 real maksimum dapat kecepatan sekitar : 64 KB.

Dengan cara diatas tersebut sudah berjalan di tempat saya.

Semoga bermanfaat.

sudah saya coba pakde, saya limit ke 50 kbits, baik download maupun upload.
efeknya memang sepertinya terlimit,
tapi kalo kita lihat grafik wan di dashboard, maka akan nampak naik dan turun, artinya bahwa memang pada saat wan request ada sedikit loss di sini,
buktinya IDM terlihat ngejan2 speednya juga turun naik di range 2KB sampai 15KB kalo di saya ( padahal dilimit 50 kbits = 6,25 KB maxnya mestinya.) , mungkin karena pengirimannya yang di delay2kan.

sebagai contoh saat tidak ada koneksi ping stabil di sekitar 45 s.d 60
Reply from 8.8.8.8: bytes=0 time=45ms TTL=49
Reply from 8.8.8.8: bytes=0 time=52ms TTL=49
Reply from 8.8.8.8: bytes=0 time=57ms TTL=49
Reply from 8.8.8.8: bytes=0 time=55ms TTL=49

pada saat IDM click tombol start maka ping akan naik lamanya sekitar 5 sd 10 sec
Reply from 8.8.8.8: bytes=0 time=904ms TTL=49
Reply from 8.8.8.8: bytes=0 time=920ms TTL=49
Reply from 8.8.8.8: bytes=0 time=886ms TTL=49
Reply from 8.8.8.8: bytes=0 time=549ms TTL=49
Reply from 8.8.8.8: bytes=0 time=621ms TTL=49
Reply from 8.8.8.8: bytes=0 time=799ms TTL=49
Reply from 8.8.8.8: bytes=0 time=895ms TTL=49
Reply from 8.8.8.8: bytes=0 time=829ms TTL=49
Reply from 8.8.8.8: bytes=0 time=816ms TTL=49

baru kemudian dia mulai berangsur turun lagi dan stabil beberapa saat,
Reply from 8.8.8.8: bytes=0 time=721ms TTL=49
Reply from 8.8.8.8: bytes=0 time=853ms TTL=49
Reply from 8.8.8.8: bytes=0 time=166ms TTL=49
Reply from 8.8.8.8: bytes=0 time=200ms TTL=49
Reply from 8.8.8.8: bytes=0 time=150ms TTL=49
Reply from 8.8.8.8: bytes=0 time=48ms TTL=49
Reply from 8.8.8.8: bytes=0 time=57ms TTL=49
Reply from 8.8.8.8: bytes=0 time=50ms TTL=49
Reply from 8.8.8.8: bytes=0 time=57ms TTL=49
Reply from 8.8.8.8: bytes=0 time=80ms TTL=49

sewaktu2 nanti kembali naik lagi sedikit
Reply from 8.8.8.8: bytes=0 time=394ms TTL=49
Reply from 8.8.8.8: bytes=0 time=244ms TTL=49 Reply from 8.8.8.8: bytes=0 time=57ms TTL=49
Reply from 8.8.8.8: bytes=0 time=53ms TTL=49
Reply from 8.8.8.8: bytes=0 time=52ms TTL=49

awalnya saya berasumsi ping ini disebabkan komputer yg digunakan itu yang kehabisan saluran 50 kbits, ternyata di komputer lain juga terjadi spikes ping yang serupa.

padahal sudah dilimit 50 kbps,  masih ada space sekitar 800an kbps ( padahal 1 Mb iklannya) yang longgar untuk client yang lain untuk lewat ( yang dilimit cuma 1 pc client ), mestinya sangat2 lebar jalur icmp untuk lewat, tapi kenapa bisa spikes seperti itu.

Hasilnya : Ketika di coba test main game sejenis dota, maka terjadi lags sekitar 10 s.d 15 sec, kemudian lancar beberapa saat lalu sekitar 1 menitan lagi lag lagi beberapa detik demikian terus, ini kalo di pemain maniacnya sudah tidak ditolerir apalgi kalo lagi warnya.

lag sekitar 15 sec, persis seperti ping tsb., cuma kalo di game2 sejenis dota,  seprtinya terasa banget.

**ane test cuma di 2 pc saja, 1 di limit 50 kbits, dan satunya tidak di limit pfsense menggunakan Intel Xeon DUA CPU E5506 @ 2.13GHz, memory 4G dan HDD 2G pfsense 2.0.2-RELEASE (i386) **

nb. kalo proxy dinon aktifkan, memang sedikit membantu, hanya saja sesaat setelah IDM diklik start ping tetap tinggi utk beberapa detik, pada saat itu juga gamenya lags… itu baru ditest saya sendiri yang IDM, kalo diwarnet bisa minimal 2 sd 3 yg klik start / resume IDMan.

pfz

Waduh… Trip trik kok jadi tutor wkwkwkw..

Iya kenapa delaynya kok segitu besar antara 10-15 second. ? Ya ?

Walah iklan up to 1MB. Mantap.

Tapi gini,  apa sudah pernah dicoba batasi IDM lewat proxy ? Ceklist throutle nya. Limit saja 8KB (misalnya).

NB:
Sayangnya yang kaitannya dengan ini Kita membatasi pokok bahasan hanya seputar limiter.

Sesuatu yg dianggap trouble itu pasti ada jalan keluarnya.

extreemblank

throtle burst sudah di coba2 juga pak de, kalo tanpa proxy memang terjadi peningkatan delay berkurang dari 2 sec sampai sekitar 5 sec saja. Limiter pfsense kynya telat nih.

itu baru di coba 1 pc saja, coba kalo yg IDM an ada 4 atau 5 lumayan bikin lag2 di Game

pfz

@extreemblank:

Limiter pfsense kynya telat nih.

itu baru di coba 1 pc saja, coba kalo yg IDM an ada 4 atau 5 lumayan bikin lag2 di Game

Walah.. !!!
Saya susah mau ngomong apa ya ?!!
Saran tapi belum tentu benar Nah apa pernah di kotak-katik misalnya src ip proxy ( gak jamin berjalan tp apa salahnya dicoba)

Soalnya begini…
Kalo mengenai delay ditempat saya pf 2.0.2 saya test pakai pc biasa2 sja kok begitu set Limiter kok gak berkutik IDM, dapatnya sesuai dgn yg di limit.
Kemudian mengenai Throutle burst yg di proxy, saya test IDM juga sesuai set.
Dengan catatan ekstensi file nya lengkap dimasukkan.
(Kalo gak salah pernah saya upload gambarnya).

Jadi Pendapat sementara saya adalah, setiap konfigurasi jaringan itu sepertinya memiliki karakteristik sendiri-sendiri. Dan harus diperlakukan (settingan nya) sesuai dengan selera pemakainya.

Bahkan untuk set murni TSW tanpa limiter, p2p, IDM juga bisa di atasi.
Jadi UP TO 2Mbps itu memang bisa diterapkan.

Bagaimana cara sett nya ? Sepertinya saya secara implisit sudah menulis di bagian palimg atas thread.
(Kalo secara harfiah sudah ada thread yg membahas Traffic shaping lengkap meski beda versi tapi prinsipnya sama.)

Lantas solusi kondisi tersebut bagaimana ?
Itu semua tergantung dari keadaan konfigurasi jaringan dan tatacara membuat firewall rules. Misalnya rules di foating akan berpengaruh di rules lan, begitu juga sebaliknya.

Sedikit berpendapat saja bahwa  firewall rules memerlukan logika. Src - des, in-out, block-allow, for interface to interface.

Kesimpulannya bagaimana? Karena keterbatasanm kemampuan saya maka, saya tidak bisa berpendapat lebih lanjut. Mohon dimaklumi.
Semoga bermanfaat.

spc

ASS WR WB
Salam PFSI

Sesuai dengan yang saya katakan yang lalu, ini ada thread yang mungkin bisa berguna badi rekan-rekan sekalian.
Maaf kalo banyak salah ketik, masalahnya editnya sudah malam … Ngantuk... Threadnya ada dibawah ini :
http://forum.pfsense.org/index.php/topic,57103.0.html

Thanks Berat ma Pak De yang gak bosen-bosenya mengarahkan yang belum terarah.
:D
Demikian dulu

Salam PFSI
WSS WR WB

extreemblank

coba di tes buka web http://onlineddos.blogspot.com/

kemudian di klik ok pada message windownya…, web tsb memaksa banyak outgoing connection. coba perhatikan ping naik turun apa gak ?, atau coba bermain game apa ada pengaruhnya ?

trims

pfz

@extreemblank:

coba di tes buka web http://onlineddos.blogspot.com/

kemudian di klik ok pada message windownya…, web tsb memaksa banyak outgoing connection. coba perhatikan ping naik turun apa gak ?, atau coba bermain game apa ada pengaruhnya ?

trims

And than

@extreemblank:

oya itu sebelumnya sudah saya oprek sana sini, baru bisa berhasil limiter apply 1/2 s.d 1 detik, sebelumnya di thread yg lain pernah saya post shaper dan limiter telat kira2 6 s.d 10 detik an…

di lan party jadinya menganggu sekali, kan setiap saat bisa saja ada user yang mulai / baru open connection / download.. atau idmnya di klak klik start resume, start resume berulang2.

extreemblank

web di atas sudah di atasi dengan snort pakde. mantap…

tapi saya masih belum berhasil mempercepat shapingnya, supaya ping gak naik walau lagi IDM. meskipun cuma 1 detik.
btw... set priority di quee gak jalan ya?

saya cek di /tmp/rules.debug gak dibikinin tuh Priority sama padahal sudah di set, ngebug atau gimana tuh pak?