настройка PFsense, 2 wan, балансировка, приоретет. И ещ&#

Song

по графикам кто ни буть что ни буть скажет? почему пинг так скаканул? максимальная загрузка проца 3%, оперативки 40%, диска 1%. канал 4Мбита.

????.JPG
????.JPG_thumb
??????.JPG
??????.JPG_thumb

Song

РЕБЯТА хелп ми срочно!!! Уже неделю наблюдаю следующую картину, недогружается внешний канал, после RESET STATES, становится все ОК на день. Проверяю один раз в день вечером с 6 до 9. Один раз заметил что State table size = 11000(или 12000, точно не помню) из 22000. Как лечить? нид хэлп ми плиз!!

ps по предположению, проблема появилась после создания очередей шейпера и правил с лимитером.

dvserg

Попробуйте увеличить макс количество стейтс и уменьшить их время жизни.

Song

ок. Где это делается?) и на сколько увеличивать кол. стейтс и уменьшать время?

Song

Каким образом в PFsense можно обойти правила фаервола?
Ситуация такая, один компьютер игнорирует лимитер, грузит канал на полную, мало того, добавление его в запрещающее правило тоже игнорирует… Временно решил проблему, удалением это компьютера из DHCP сервера с установленной галочкой не пускать неизвестных.
Что это за фигня?

dvserg

@Song:

Каким образом в PFsense можно обойти правила фаервола?
Ситуация такая, один компьютер игнорирует лимитер, грузит канал на полную, мало того, добавление его в запрещающее правило тоже игнорирует… Временно решил проблему, удалением это компьютера из DHCP сервера с установленной галочкой не пускать неизвестных.
Что это за фигня?

Включите логирование и ищите правило.

nomeron

Если установлен CP, то особо умные могут поднимать ppp сессии, которые не будут логироваться.
Кстати, в правилах Protocol any подразумевает только протоколы L3 ?

Song

Судя по всему да, L3.
Я знаю пользователя этого компьютера, есть сомнения в хакерских способностях 16 летней ТП… Еще заметил, давненько уже, что на IP это компьютера не проходит команда пинг, хотя машина онлайн и сидит в интернете. Может это как связано?

werter

@Song:

Судя по всему да, L3.
Я знаю пользователя этого компьютера, есть сомнения в хакерских способностях 16 летней ТП… Еще заметил, давненько уже, что на IP это компьютера не проходит команда пинг, хотя машина онлайн и сидит в интернете. Может это как связано?

Ну так пользовательские фаерволлы еще никто не отменял. Включая и стандартный. Вот они ICMP и блочат.

Song

Я всегда при подключении машины к локалке, вырубаю фаерволы. Хотя может и сама включила хз…

Song

Ребят, помогите хоть с этим разобраться. В правилах фаервола указываются очереди шейпера, чем отличаются Ackqueue от Queue? Можно указать одну очередь, как на втором скрине, как будет работать?

???????.JPG
???????.JPG_thumb
???????2.JPG
???????2.JPG_thumb

Song

Прошу совета. Проблема следующая, при 100% загрузке внешнего канала, не могу зайти на WEB морду сенса. Вопрос как сделать правило с отдельным лиметерем, источником в виде IP моей машины и назначением в виде IP сенса. Пробывал, не выходит в лиметер инфо, по созданным трубам трафик не бегает. Вариант два, поставить третью сетевую, чисто для доступа к PFsense. Что посоветуете?

aleksvolgin

Что посоветуете?

Железо помощнее.

Song

@aleksvolgin:

Что посоветуете?

Железо помощнее.

Это из за железа? внешний канал 4Мбита, если удается пробиться на веб морду и уменьшить лиметер, что бы загрузка канала не была впотолок, то веб морда растормаживается.
Ниже скрин с загрузкой железа при 85% загрузке канала.

Jelezo.JPG_thumb

Song

Всем доброго времени суток. Возник такой вопрос - Лиметером режется скорость: входящая 1мбит, выходящая 512кбит. На спидтесте все четко показывает, то есть лиметер работает. Смотрю на LAN порт в трафик графике, у некоторых проскакивает исходящая скорость 600 - 800 - 1200 кбит, как с этим бороться? куда смотреть?

ps правила с лиметером сделаны на LAN интерфейсе.

Song

Как в PFsense заменить DNS(выключить)? Что бы вместо внутреннего, использовался DNS гугла или яндекса например. Я нашел только где добавить дополнительные DNS. Но клиентам все равно раздается DNS 192.168.1.1, адрес sensa.

Исходя из скрина, правильно я сделал - клиентам раздается мой ДНС, но он использует ДНС гугла. или я не правильно понял эту функцию?

DNS.JPG_thumb

dvserg

Клиентам раздается с DHCP - там и ищите.

Song

В общем разобрался:

в General Setup устанавливаем галочку Allow DNS server list to be overridden by DHCP/PPP on WAN.
там же устанавливаем Do not use the DNS Forwarder as a DNS server for the firewal(дабы вырубить локальный 127.0.0.1).

В итоге, клиентам раздается ДНС 192.168.1.1, но используется установленный в графе DNS Server(как на скрине выше).

Осталось два вопроса:
Первый - хотелось бы совсем избавится от службы ДНС и раздавать сразу внешний(чей ни будь) ДНС, для уменьшения нагрузки на процессор.
Второй - как раздать разным клиентам разные ДНС(есть необходимость), например одному алису ДНС гугла, другому ДНС яндекса.

Song

@dvserg:

Клиентам раздается с DHCP - там и ищите.

В Services: DHCP server есть только два пустых поля с DNS-сервер. Не совсем понял что мне это даст. Цель - раздать разные ДНС(два) разным группам клиентов.

Хелп ми))

werter

@Song:

@dvserg:

Клиентам раздается с DHCP - там и ищите.

В Services: DHCP server есть только два пустых поля с DNS-сервер. Не совсем понял что мне это даст. Цель - раздать разные ДНС(два) разным группам клиентов.

Хелп ми))

Ну так и вбивайте в эти поля нужные Вам адреса DNS-серверов. Клиенты, получающие адреса по DHCP, получат эти адреса в кач-ве DNS-серверов.

И добавить правило для прохождения DNS запросов от клиентов в fw не забудьте.

P.s. И что значит "… разным группам клиентов" ? У вас несколько LAN (физически)? Или VLAN-ы организованы?