Limiter не ограничивает один Ip
-
Как вариант для ТС - слить конфиг с настройками пакетов и без. Поднять pfsense с нуля и проверть только проблемную часть (лимитер).
Если все ОК, тогда залить старый конфиг и снова проверить работоспособность лимитера. -
А каким сервисом загрузку канала по https можно проверить? Тоже интересно стало.
через приложение yandex disk на выкачку в облако.
По state видно, что yandex disk использует только 443 порт для транспорта. -
Мне одному по-прежнему кажется что limiter-у абсолютно все равно какой трафик регулировать, если правила для него в fw созданы по портам назначения ? Речь ведь не о L7-фильтрации идет ?
речь идет не о L7. limiter не может ограничить одновременно торрент и https, по крайней мере у меня не получается это реализовать.
-
Как вариант для ТС - слить конфиг с настройками пакетов и без. Поднять pfsense с нуля и проверть только проблемную часть (лимитер).
Если все ОК, тогда залить старый конфиг и снова проверить работоспособность лимитера.Если проведение вами тестов с yandex disk ничего не даст, то так и сделаю.
p.s. как и в предыдущем посте, yandex disk это одно из приложений которое можно проверить. так же не всегда правильно работает gateway в fw, к примеру, если запустить с сайта(забыл адрес ресурса, то ли ralink, или dlink или realtek, не помню…), то он дает скачку по 443 порту и fw не смотрит на указанный gw и пускает весь трафик по default gateway в системе. -
Результат моего теста такой
Во время теста ширина входящего канала была 5 мб.
Погонял через яндекс-диск несколько разных видео файлов, 150 и 250 мб примерно. Скорость скачивания не превышала установленной в трубке (строго 4 мб).
Установил торрент и поставил на закачку фильм, по моим правилам торрент должен попасть в трубу в 1 мб/сек, судя по графику он также не превысил ограничения. Юторрент обещал качать фильм в 700 мб 2 часа, этот же фильм дома, я скачал за 2 минуты.На выгрузку я не смог нормально протестировать, т.к. там радиоканал и исходящая скорость сильно плавает.
В этом офисе провайдер один, так что мультиванов нет и дефолт шлюз один, локалка тоже одна. Все правила написаны в разделе для lan (я floating разделом не часто пользуюсь).
Если с другими правилами всё работает, то ищите синтаксическую ошибку или если правил много, а тупит одно, может для этого ip уже есть правило и срабатывает оно? Надо ему галку лог поставить и смотреть, срабатывает или нет.
Удалите правило, заново его напишите, сравните с теми правилами, которые работают нормально.
Лог fw почитайте, если есть проблема с ним, должен там что-то писать. -
Логи чисты. Хотел дополнить предыдущий свой пост, что на сайте интел скачка идет по 443, но видимо все в корне ни так. буду копать.
-
Результат моего теста такой
Во время теста ширина входящего канала была 5 мб.
Погонял через яндекс-диск несколько разных видео файлов, 150 и 250 мб примерно. Скорость скачивания не превышала установленной в трубке (строго 4 мб).
Установил торрент и поставил на закачку фильм, по моим правилам торрент должен попасть в трубу в 1 мб/сек, судя по графику он также не превысил ограничения. Юторрент обещал качать фильм в 700 мб 2 часа, этот же фильм дома, я скачал за 2 минуты.На выгрузку я не смог нормально протестировать, т.к. там радиоканал и исходящая скорость сильно плавает.
В этом офисе провайдер один, так что мультиванов нет и дефолт шлюз один, локалка тоже одна. Все правила написаны в разделе для lan (я floating разделом не часто пользуюсь).
Если с другими правилами всё работает, то ищите синтаксическую ошибку или если правил много, а тупит одно, может для этого ip уже есть правило и срабатывает оно? Надо ему галку лог поставить и смотреть, срабатывает или нет.
Удалите правило, заново его напишите, сравните с теми правилами, которые работают нормально.
Лог fw почитайте, если есть проблема с ним, должен там что-то писать.Cкинь мне пожалуйста в личку свои настройки лимитера и правила для них fw.
-
Вот скриншоты правил
-
2 DasTieRR
Все же лучше правила лимитера во флоатинг рулез помещать, ИМХО. -
Спасибо DasTieRR.
Этот вариант, я описывал в этой теме или в предыдущей, так же я описал его минусы и плюсы, а именно:
минус
Этот вариант лимитера (mask none) нельзя применить для каждого клиента(ip) индивидуально. Если использовать такой лимитер в более чем одном правиле в fw(для более одного ip), то все эти ip будут между собой делить эту скорость.
плюс
Этот вариант лимитера отрабатывает как надо.заключение
Данный вариант реализации ограничения скорости приемлем для самых простых схем.
Еще раз спасибо DasTieRR, но такой вариант я указывал как неприемлемый. -
Приветствую.
Прикрепил скрин−шоты своих настроек. Работает без проблемм − все ограничивает как и прописано. Правила должны работать в паре. Если заменить "Office net" (в обеих таблицах) на либо алиас где прописаны адресса которые надо ограничить, либо на просто один аддресс, то будет ограничивать либо алиас, либо IP соответственно. Лично проверял.
Первый скрин − FW Rules -> Floating
Второй скрин − FW Rules -> OfficeЛимитер без указания маски.
 -
Приветствую.
Прикрепил скрин−шоты своих настроек. Работает без проблемм − все ограничивает как и прописано. Правила должны работать в паре. Если заменить "Office net" (в обеих таблицах) на либо алиас где прописаны адресса которые надо ограничить, либо на просто один аддресс, то будет ограничивать либо алиас, либо IP соответственно. Лично проверял.
Первый скрин − FW Rules -> Floating
Второй скрин − FW Rules -> OfficeЛимитер без указания маски.
Приветствую, спасибо за поддержание темы. Выложи подробно одно из правил во floating, не ясно как настроены у тебя direction и interface.
Еще вопрос, вы проверяли как данная связка отрабатывает при указании в gateway группу: "failover WAN"? А то при обращении к 443 порту, pfsense отправляет тебя через маршрут по умолчанию в системе, а не по явно указанному.
Еще момент.Если заменить "Office net" (в обеих таблицах) на либо алиас где прописаны адресса которые надо ограничить, либо на просто один аддресс, то будет ограничивать либо алиас, либо IP соответственно. Лично проверял
Такой вариант ограничивает скорость всей группы ip адресов (альясов) поровну, но не дает каждому ip указанную скорость. Так же, если применить одни и те же лимитеры в нескольких правилах, то у всех у кого стоят такие лимитеры будут делить между собой данную скорость поровну.
p.s. Я могу ошибаться, так как не пробовал такую связку дублирования правил на лан и флоатинг(пробовал только на ЛАН и ЛАН). Отпишусь о результатах, как только автор выложит скрин настроек во флоатинг. Еще раз благодарю его за содействие.
-
"failover WAN" не пробовал, сказать ничего по этому поводу не могу.
Если надо ограничивать только один IP замените "Office net" в обеих таблицах только на этот IP.
Алиасов можете создавать сколько захотите − можете сортировать ваших клиентов там как вам угодно. Тоже самое и с лимитерами − сколько надо столько и создайте.
Если клиент принадлежит алиасу и скорость для всего алиаса должна быть одна, а именно для этого клиента другая − создайте пару правил (floating-lan) для клиента и поставте их ПЕРЕД (выше) правилами для этого алиаса. FW выполнит их первыми и не пойдет дальше.
-1.png)
-1.png_thumb)
-2.png)
-2.png_thumb)
-
"failover WAN" не пробовал, сказать ничего по этому поводу не могу.
Если надо ограничивать только один IP замените "Office net" в обеих таблицах только на этот IP.
Алиасов можете создавать сколько захотите − можете сортировать ваших клиентов там как вам угодно. Тоже самое и с лимитерами − сколько надо столько и создайте.
Если клиент принадлежит алиасу и скорость для всего алиаса должна быть одна, а именно для этого клиента другая − создайте пару правил (floating-lan) для клиента и поставте их ПЕРЕД (выше) правилами для этого алиаса. FW выполнит их первыми и не пойдет дальше.
ну все так же как я и предполагал - один limiter для одного Ip или группы.
Сколько у вас лимитеров? Вопрос к тому, что я читал на этом форуме, что макс кол-во лимитеров которое можно создать не более 30шт.
Думаю, что в моем варианте, а я хочу дать 500 пк равную скорость, такой вариант самый не удобный для меня. Почему, потому что нужно создать хоть и не ручками, но все же 500 правил в флоатинг, потом 500 на лан1 и плюс 500*2 ЛИМИТЕРОВ. Боязнь заключается в том, что MBUF Usage может не справится, у меня 26% (34622/131072) и это при ~500правил на fw и 10limiter. -
тогда можо попробовать вариант с Captive Portal. Настроить его так, чтобы клиенты могли проходить его без авторизации и указать ограничение скорости для каждого клиента. Теотетически СР умеет это делать (скрин−шот).
 -
тогда можо попробовать вариант с Captive Portal. Настроить его так, чтобы клиенты могли проходить его без авторизации и указать ограничение скорости для каждого клиента. Теотетически СР умеет это делать (скрин−шот).
вариант интересный, у меня как раз настроен он на одном интерфейсе, только он не прозрачный а с авторизацией, которая не умеет перехватывать при запросах на https(т.е. если ты открываешь google, то у тебя не откроется стартовая страница CP, если только ты не пропишешь авторизацию по https, а сертификат нужен валидный, а то у клиентов будет на весь экран ошибка безопасности))))) ГРАБЛИ…..блин!!!!!!!!
Так же минус в том, что если ты настроил его на авторизацию по чему угодно, то на всех интерфейсах будем доступен только такой вариант авторизации. Т.е. на лан1 по логину и паролю, а на лан2 ты хочешь прозрачную, то ничего не выйдет, какой метод выбрал такой метод везде и будет работать.проверил, ошибочка, сорри за оффтоп))) -
Уважаемые модераторы извините, но тему я поднимаю снова и закрывать без решения вопроса не хочу, дабы вопрос все еще открытый.
-
up
-
Установил pfsense, настроил 2 интерфейса LAN, WAN через adsl. Пытаюсь ограничить скорость юзерам лимитером, скорость не режется качает во всю ширину канала. В соседний фирме pfsense с такими настройками работает, скорость режет
В чем может быть причина?
Вот скрины настроек
-
а в плавающие правила соответственную строку добавили?
