Traffic Shaper - OpenVPN
-
Я бы удалил шейпер и настроил его заново. При этом снимая галки на ненужных Вам сервисах (игры (одну бы оставил для шаблона), интернет-мессенджеры etc.). Все неиспользуемые засунул бы в p2p-очередь по-дефолту.
После окончания работы визарда создал бы правило для удаленного адреса и порта OpenVPN и назначил ему более высокий чем у p2p приоритет
И не забывайте делать Reset states после изменений настроек шейпера!
-
После окончания работы визарда создал бы правило для удаленного адреса и порта OpenVPN и назначил ему более высокий чем у p2p приоритет
Так я уже делал. В результате StS канал получается не шыре самой узкой стороны -> интернет канал: 1сайт 5 мб/с, 2сайт 10 мб/с. между сайтами канал провайдера 100 мб/с. Создаем VPN канал, выдаем ему наивысший приоритет - в результате канал не более 5 мб/с. Задача - сделать VPN-канал под 100, при сохранении приоритета для VoIP на интернет-направлении
-
После окончания работы визарда создал бы правило для удаленного адреса и порта OpenVPN и назначил ему более высокий чем у p2p приоритет
Так я уже делал. В результате StS канал получается не шыре самой узкой стороны -> интернет канал: 1сайт 5 мб/с, 2сайт 10 мб/с. между сайтами канал провайдера 100 мб/с. Создаем VPN канал, выдаем ему наивысший приоритет - в результате канал не более 5 мб/с. Задача - сделать VPN-канал под 100, при сохранении приоритета для VoIP на интернет-направлении
Скажите, а очередь qInternet создается автоматически, или как?
Создайте очередь qVPN непосредственно на интерфейcах Wan/Lan, чтобы лимит не упирался в родительскую очередь.
При этом, естественно, сумма дочерних очередей не должна превышать родительскую (qInternet + qVPN) < qLan (qWan) -
Все очереди создает визард.
Создать такую специфическую очередь можно только на LAN, там не задается ограничение от корня
и возможно уйти от родительского ограничения qInternet.
А вот как быть с WAN интерфейсом? Там родительское ограничение идет от корня…Может не шейпить WAN интерфейс?
Или задать бандвиш для ВАН - 100 мб/с, а для дочерних очередей задать ограничения
не в процентах, а явно? -
Все очереди создает визард.
Создать такую специфическую очередь можно только на LAN, там не задается ограничение от корня.
и возможно уйти от родительского ограничения qInternet.
А вот как быть с WAN интерфейсом? Там родительское ограничение идет от корня…Может не шейпить WAN интерфейс?
Или задать бандвиш для ВАН - 100 мб/с, а для дочерних очередей задать ограничения
не в процентах, а явно?Реальная (аппаратная) скорость WAN 100 ?
Если так, то создавайте на Wan иерархию qInternet, аналогично LAN, и в корне добавляйте qVPN.
Скорость WAN ставьте 90-95% от реальной (требование такое для корневого узла, иначе получите WoW эффект).
В очереди qInternet ставьте скорость интернет соединения от провайдера (так-же 90-95% от реальной скорости).
Ну а для qVPN остаток (Wan - qInternet - прочие_дочерние_корня) и приоритет.Данный вариант подразумевает, что провайдер предоставляет разные скорости к своим и к внешним сервисам. (к своим, естественно, скорость больше).
-
Спасибо за идею, но не заработало.
Вроде все настроил и статистика отображается в пределах ожидаемого результата,
но скорость в туннеле в 10 раз меньше, чем без шейпера.
А должна была, по расчетам, упасть приблизительно вдвое.хотя, возможно, тунельный траффик шейпается на ЛАНе дефолтным правилом или qInternet ?
Может тогда и для LAN назначить "аппаратную" 100 ?
-
Может тогда и для LAN назначить "аппаратную" 100 ?
А у Вас сколько стоит?
Нужно указать 100*0,95=95мбитИ на графике не видно, чтобы у LAN очередь qVPN была. Что-то не так.
-
Может тогда и для LAN назначить "аппаратную" 100 ?
А у Вас сколько стоит?
Нужно указать 100*0,95=95мбитИ на графике не видно, чтобы у LAN очередь qVPN была. Что-то не так.
Когда визард правила генерит, то он на корень LAN вообще не проставляет скорость.
Попробую без использования скрипта, полностью руками создать.По поводу графика тоже обратил внимание, но значения не придал -
возможно имело смысл перезагрузить систему.Попробую еще раз на выходных, с перезагрузкой.
-
Выскажу крамольную мысль , что OpenVPN дает максимум при исп. tun не более 10 мбит\с. Могу ошибаться, ес-но.
Попробуйте перейти на tap и проверить.
http://www.linux.org.ru/forum/admin/9636749
-
Выскажу крамольную мысль , что OpenVPN дает максимум при исп. tun не более 10 мбит\с. Могу ошибаться, ес-но.
Попробуйте перейти на tap и проверить.
Потестировал скорость.
OVPN-cервер - 2.0.3, tun, tcp. Клиент OVPN - не pfSense.
Получил 1,5 Мегабайт/сек на относительно занятом канале провайдера 25 Мбит. -
Всё намного проще.
http://habrahabr.ru/post/246953/
Модератор вынеси в фак.
PS: лично Я не сталкивался с этой проблемой. У меня как минимум на 12 мегабитах канал юзается полностью. -
Всё намного проще.
http://habrahabr.ru/post/246953/
Модератор вынеси в фак.
PS: лично Я не сталкивался с этой проблемой. У меня как минимум на 12 мегабитах канал юзается полностью.Ребят, может кто-нибудь это проверить и отписаться ? Буду благодарен (и не только я).
-
OVPN-cервер - 2.0.3, tun, tcp. Клиент OVPN - не pfSense.
Получил 1,5 Мегабайт/сек на относительно занятом канале провайдера 25 Мбит.фаст солюшен - поставьте туннель UDP.
-
OVPN-cервер - 2.0.3, tun, tcp. Клиент OVPN - не pfSense.
Получил 1,5 Мегабайт/сек на относительно занятом канале провайдера 25 Мбит.фаст солюшен - поставьте туннель UDP.
Солюшн очевидный. Но среди клиентов - Микротики, в которых производитель на OVPN поверх UDP забил.
Скорости хватает, туннели работает стабильно, клиенты висят сутками без реконнекта. -
я свои микротики линкую по pptp, проблем нет.
Ну кроме объективных, ведь это же PPtP -
Ipsec?
-
-
я свои микротики линкую по pptp, проблем нет.
Ну кроме объективных, ведь это же PPtPА попробуйте SSTP, Микротик поддерживают и сервер и клиент. Тестировал с чужим сервером - понравилось.
Хотелось бы SSTP увидеть и на pfSense "из коробки" -
-
Ipsec?
У меня не получилось подружить микротик и pfsense :)
А вы попробуйте. Не спеша.
google -> ipsec pfsense mikrotik
Вы просто не знаете суть проблемы. А она в том, что OS микротика очень часто пилится. Нет гарантии, что при следующем апдейте не слетит туннель. У меня с OVPN так было. Он и сейчас работает через релиз.
Чанжлог http://pastebin.ru/TeolTMij - делаем поиск по странице "ipsec"
