Как с Wan раздать инет VLAN?
-
в Фаерволе пусто только значение отбаунд. И в правилах ВАН тоже отсутствует. Я так понимаю надо создать правило в ВАН чтобы раздать на соответсвующую сеть или адрес ? И вопрос ещё: какой родитель должен быть ВЛАН ? ЛАН или ВАН ?
-
В NAT перекл. на Hybrid и внимательно добавляете правила для OPT1 по аналогии ниже с WAN.
В настр fw на LAN создаете правило - src - LAN net + явно указываете GW - OPT1. Ставите его выше всех - ваши пол-ли будут ходить через OPT1.
Можно также настроить отказоустойчивость и\или балансировку из двух WAN. -
Благодарю за ответ.
@werter:В NAT перекл. на Hybrid и внимательно добавляете правила для OPT1 по аналогии ниже с WAN.
Надо создать правила в mappings ?
@werter:В настр fw на LAN создаете правило - src - LAN net + явно указываете GW - OPT1. Ставите его выше всех - ваши пол-ли будут ходить через OPT1.
Что такое GW ? в правилах указать Сорс будет Лан нет,а Destination OPT1 ?
Скажите а почему такие трудности раздачи интернет по ВЛАН ? Ведь по Лан элементарно передается. По идее при создании ВЛАН и прописке родителя ВАН и правил таких же как в ЛАН по идее должно хватить.
И ещё вопрос надо ли, что бы сетевая карта поддерживала 801q ? Может из-за этого такие трудности ? -
Помогите пожалуйста ! В долгу не останусь ! Реально срочно надо. Скоро открытие офиса. вайбер +7-978-8-535-600
-
В Outbound NAT нужное правило, похоже, создалось.
Для интерфейса VLAN\OPT1 есть ли правило, аналогичное правилу для LAN:
IPv4 * LAN net * * * ваш шлюз\или * none Default allow LAN to any rule
т.е
IPv4 * OPT1 net * * * ваш шлюз\или * none Default allow OPT1 to any rule -
Благодарю Вас за ответы. Попробовал все равно не идет. Тут возник вопрос в следующем. Порезать скорость на Лане смог пользователям с помощью правил. Вопрос к знающей и уважающей публике : как,зная IP адреса сайтов и порты - этим ресурсам включить больше пропускной способности ? Это надо для того, что бы пользователи в локалке сидели по 2 мбита интернета , например, а когда начнется обновление виндоус ,скайп или другие программы, то на эти ресурсы выставить по 10 мбит.
-
Доброе.
Скрины настроек WAN, VLAN. -
И Вам добрый. Вот скрины. Упорно инет не заходит на мою подсеть ВЛАН 192.168.3.234 Не знаю есть ли статья на тему как настроить инетс ВАНА на ВЛАН? Вопрос стал так : что легче пробросить инет на ВЛАН или Надо сделать так, чтобы трафик к определенным ресурсам не попадал в данное правило шейпера присвоенный ЛАНУ
-
Итак уже 3 дня шаманства до глубокой ночи выявили следующие нюансы. Попробовал пойти от ВЛАНА другим путем. Создал виртуальный айпи. Прикрепил его к ЛАНу в настройках. Прописал его в РУЛах и и поставил НАТ на автомат (рифма :)))). Урааа ! Радость была не долгая пока выяснил что сквозит от этого виртуального айпи. В шейпере задал лимитеры и вписал в РУЛЫ ничего не помогает как сквозит ЛАН так и Виртуальный Ай пи. Теперь вопрос : Как ограничить скорость этого виртуального АЙ ПИ ?
-
Доброе.
Какой там лимитер-шейпер ? Вы куда рванули? Вы доступ в инет доведите до ума. У вас на OPT1 в NAT настройки невнимательно перенесены с WAN.Начнем c начала. Как у вас ВЛАН организован для ОПТ1 ? У вас есть л2-свитч, в к-ый воткнуто ДВА кабеля от 2-х пров-ров и один кабель воткнут в trunk-порт этого свитча и из него - в сетевую (ВАН) для пф?
Или у вас ДВЕ внешн. сетевые (для ВАНов) на пф и в них воткнуто по кабелю от пров-ров ?
-
Здравия и Вам :) Расскажу все сначала. Думаю как легче решить. Есть один вход физический ВАН и есть выход физический на свич ЛАН. Так как из железа есть мать Асрок с одним PCI слотом, вот и задумался что сделать. Задача стоит такая:на офис всем поделить скорость по 5 мбит, подставляя шлюз с подсети ЛАНА 192.168.0.1 и настроить ВЛАН 192.168.1.1 и пустить на него интернет и вручную батником менять шлюз на клиентских компах на 10 мбит при обновлениях. По умолчанию на ЛАНЕ появляется интернет и его шейпером легко порезать. А на созданном ВЛАНЕ 192.168.1.1 нет интернета хотя с этого айпи можно зайти в веб-морду. Правила одинаковые что на ЛАНе, что на ВЛане.
Теперь если не получится пустить на ВЛАН инет чуть изменить задачу. Увсех клиентов скорость по 5 мбит, но к определенным хостам или интернет ресурсам сделать скорость доступа 10 мбит. Вот что проще ? :))) Заранее благодарен за ответ. -
Скажите а почему такие трудности раздачи интернет по ВЛАН ? Ведь по Лан элементарно передается. По идее при создании ВЛАН и прописке родителя ВАН и правил таких же как в ЛАН по идее должно хватить.
да, правильно настроенный VLAN для pfsense - просто еще один интерфейс\сетевая плата.
И ещё вопрос надо ли, что бы сетевая карта поддерживала 801q ? Может из-за этого такие трудности?
Желательна аппаратная поддержка. Теоретически дешевые сетевые платы могут криво поддерживать работу с VLAN.
Выполните ifconfig. В выводе для физической карты должны быть упоминания о VLAN. У меня это выглядит так:
igb0: flags=8843 <up,broadcast,running,simplex,multicast>metric 0 mtu 1500
options=400bb<rxcsum,txcsum,<strong>VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWTSO>
HW - аппаратная поддержка. Она не обязательна, но с ней лучше.Не очень ясно, для чего вам VLAN. Если не для разделения подсетей, то для ограничения скоростей VLANы не нужны.
и вручную батником менять шлюз на клиентских компах
Тоже не ясно, т.к
Есть один вход физический ВАН
О смене каких шлюзов идет речь?</rxcsum,txcsum,<strong></up,broadcast,running,simplex,multicast> -
Здравствуйте. Я делаю батники что бы в подсетях подставлять в свойствах ТСP/IPv4 в графе шлюз 192.168.х.х , что бы юзеры виндовые смогли с рабочего стола одним кликом поменять шлюз и тем самым увеличить или уменьшить скорость. Сейчас объясню как. Например есть две подсети 192.168.0.1 и 192.168.5.1 На них шейпером ставлю ограничение по скорости и в РУЛАх прописываю 192.168.0.1 - 5 мбит и 192.168.5.1 - 10мбит. Затем делаю батники
10 мбит
route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1
route -p add 0.0.0.0 mask 0.0.0.0 192.168.5.15 мбит
route delete 0.0.0.0 mask 0.0.0.0 192.168.5.1
route -p add 0.0.0.0 mask 0.0.0.0 192.168.0.1Теперь когда надо нам нужная скорость просто клацаем на батник и получаем результат. Так вот, я хотел что бы с одного физического конца получить две подсети LAN и VLAN вместе с интернетом. У ЛАНА есть инет,у ВЛАНА нет. Видно придется толкнуть Асрок с одной PCI и купить другую мамку и подкупить еще одну сетевую. Надве сетевушки думаю колдовать не надо инет сразу будет раздаваться на них.
Я может устарел в планах раздачи и ограничения пользователей скорости инета, но на старом сервере было десять таких шлюзов и 10 батников которые переключали и ограничивали интернет. Я так подумал что так можно было бы замутить с ВЛАНАМИ :)))
Потом попробовал с виртуальным айпи но на него шейпер недействует сквозит как и физический ЛАН :) -
Я может устарел в планах раздачи и ограничения пользователей скорости инета, но на старом сервере было десять таких шлюзов и 10 батников которые переключали и ограничивали интернет.
Самый, пожалуй, экзотический способ управления трафиком, который я встречал.
Да и как проследить, что юзер сознательно ограничил сам себе скорость?
-
Ну так подскажите пожалуйста как порезать трафик и что бы изменять виндовыми средствами ? Кстати собрал на двух сетевухах и нормально режет скорость. И раздается инет нормально. Пока все начальные настройки и полет нормальный. Но тут появилась одна хрень. Если юзер начинает качать на своем компе что-то, то падает инет во всем офисе. У юзера ограничение 5 мбит вроде и скорость не большая от 100 мбит общей, но все-таки. Может подскажите куда смотреть или что делать ? Правда странно как-то. Может шейпер не так работает ?
-
Ну так подскажите пожалуйста как порезать трафик и что бы изменять виндовыми средствами
Если хотите управлять скоростью именно на клиенте - лет 15 назад использовал такую штуку:
https://www.netlimiter.com
Позволяет управлять не только трафиком клиента вообще, но и управлять трафиком конкретных приложений.
Минус - программа платная.Правильным же, IMHO, способом является настройка лимитера\шейпера на самом pfsense.
-
Нет на винде каждому клиенту смысла нет. Поставил две сетевухи на разные подсети. Инет везде есть и ограничения на пользователей шейпером. Все работает без проблем. Но теперь такая штука возникает - когда кто-то качает торрент, у него стоит ограничение, но падает вся сеть и у всех с лагами интернет. Хотя на офисе 100 мбит общий канал, а клиент тянет торрент всего 10 мбит в чем может быть проблема ?
-
Доброе.
https://forum.pfsense.org/index.php?topic=110938.0
https://forum.pfsense.org/index.php?topic=111231.0Настройка shaper-а - дело крайне нетривиальное. Внимательность и еще раз - внимательность.
И еще. Никогда не ставьте 100% скорости канала в настр. шейпера, якобы выданного вам провайдером. Не нужно лепить по 100 мбит\с туда\обратно - никто вам такой скорости за те деньги, что платите не гарантирует. Используйте скорости, близкие к реальности - 10-20-30 Мбит\с. Иначе толку от вашего "шейпера" будет 0.P.s. Эка вы с места в карьер рванули. Толком как работает vlan (и модель OSI в целом) не разобрались хоть немного, а уже - шейпер. Не думаю, что выйдет толк из ваших настроек. Уж как есть говорю
P.p.s. Первый раз сталкиваюсь, когда на раб. месте разрешены торренты.
-
Ограничить общее число подключений в торрент-клиенте до 100-150.
Какова загрузка CPU на pfSense при нагрузке торрентами? Какой процент отъедают при этом IRQ на сетевых картах?
смотреть можно так:
top -aSH
пример вывода:root -92 - 0K 640K WAIT 3 865:24 0.49% [intr{irq261: igb0:que}]
и
vmstat -i -
P.s. Эка вы с места в карьер рванули. Толком как работает vlan (и модель OSI в целом) не разобрались хоть немного, а уже - шейпер. Не думаю, что выйдет толк из ваших настроек. Уж как есть говорю
P.p.s. Первый раз сталкиваюсь, когда на раб. месте разрешены торренты.
Всё правильно Вы говорите, но время не терпит и надо было хоть как-то запуститься. Мне уже все равно какой дистриб программного маршрутизатора, лишь бы просто и быстро настроить :) Влан по-прежнему не работает, поставил две сетевухи и работают две подсети и режет скорость. Дело в том, что один начинает обновлять игрушку или качать торрент и ложится вся сеть. Тут дело не в ограничениях коннекций. Тут надо пойти по такому принципу, если все качают, например и у всех ограничения 5 мбит, то если не хватает скорости общей надо распределять равномерно одинаково между пользователями.
Смотрел на мониоринг, когда падала сеть и нагрузка на проц и другие параметры были минимальные. Проц АМД Атлон II, оператива 2 гБ - я думаю за глаза.
