Limitador no funciona! (SOLUCIONADO)

shadow25

Hola. Si tu idea es limitar los hosts que pertenecen a la subred /24 tendrias que difinirlos en el "Source" ..y el destino seria "any". .. De todas formas podrías anexar un esquema grafico de lo que quieres realizar ya que ayudará a comprender correctamente la situacion.

Saludos

elbocha01

Explico la idea con fotos.
en una foto se ven los alias, en la otra la regla para cada alias, en la otra los limitadores que están en las reglas seleccionados.
Y voy a consultar algo tal ves muy básico que me esta surgiendo ahora, puede ser que en la parte de gateway de cada regla tenga que ponerle a por donde salir? esta en la ultima foto a lo que me refiero. dentro de 8 hs puedo modificar ese pf, por eso no estoy aplicándolo ahora. tendría que duplicar todas las reglas? una para cada wan? elimino la regla del failover en este caso planteado?

pf1.jpg_thumb

pf2.jpg_thumb

pf3.jpg_thumb

pf4.jpg_thumb

pf5.jpg_thumb

pf6.jpg_thumb

shadow25

Hola. Te anexo por aqui unas reglas que te puedo asegurar que funcionan correctamente (Aliases con Limiters)

ReglasLAN.jpg_thumb

shadow25

Me parece que confundes el Source con el Destination y el In/Out Pipe.

Lo del FailOver es otra cuestion, intenta resolver un problema a la vez. .. ;)

Edit.jpg_thumb

elbocha01

Probando! te confirmo en un rato
edito:
ya los estuve testeando, las limitaciones funcionan hasta donde vi ok, el problema era como decia nuestro compañero, le estaba errando en el Source, poniendo yo los alias en el Destino.

En este punto me genera otra inquietud, el limitador me esta tomando cada regla de la misma manera como única en conjunto, me explico mejor, en la gráfica LAN, se limito todo el trafico a 1mb, bien en parte, hace lo mismo como cuando limito la regla que me permite todo el trafico a 1 mb en la red.

Explico mi idea nuevamente. Me gustaría que cada paquete que tengo en la parte de alias, 25 paquetes para ser especifico con 10 direcciones de ip, navegue individualmente a 1 mb por alias, en este momento navega toda la red a 1 mb.

limitador entrada salida: in 1 mb // out 1 mb

aporto: las 25 reglas están creadas de la misma manera lo que fui cambiando son los alias solamente. (foto)

Idea: puede ser que tenga que crear una regla en el Traffic Shaper/Limiter para cada regla en el firewall/rules/Lan?
Las reglas del failover están sin limitaciones.

pf10.jpg_thumb

ptt

Muestra cómo tienes los 2 "Limiters" ;)

elbocha01

Te dejo la configuración del limitador, esta igual la regla en entrada y salida

pf11.jpg_thumb

shadow25

Hola. Entiendo que el limitador que dice "Entrada" es para limitar el "upload" y el que dice "Salida" es para limitar el "download" de cada ip… ¿?
Siguiendo ese esquema deberias modificar lo siguiente ( tomando como referencia la imagen que aportaste):

1º) UPLOAD: Debes hacer click en la lista desplegable que dice "None" y seleccioar la opcion "Source". En el casillero que dice "Mask" debes escribir el numero 32.

2º) DOWNLOAD: Debes hacer click en la lista desplegable que dice "None" y seleccioar la opcion "Destination". En el casillero que dice "Mask" debes escribir el numero 32.

Esto logrará que se cree un limitador por cada ip o host que tengas en el Aliases.. Para verificar tienes que ir a Diagnostics --> Limiter info.

Saludos

elbocha01

Ea! buena ai, esta funcionando, hice esto ultimo que me pusiste y funciona aunque no con cada ip o host sino con el alias completo como paquete, explico abajo.

He aqui una consulta de curioso, sobre el tema siempre.
En este momento como están los alias con paquetes de 10 ip c/u, y la configuración de los limitadores establecidas como dijo shadow, y con limites de 1 mb. De esta manera el Alias, funciona a 1 Mb en conjunto. Oscea que el entre las 10 ip usan 1 Mb de coneccion si una pc me usa 512 las otras 9 disponen de 512 para navegar.

Aquí me surge la duda. Yo tengo 25 reglas en el firewall creadas, y si me surgiese la necesidad de limitar todo el segmento para que cada maquina navegue a 1Mb por ej. Tendría que crear 254 reglas de firewall o hay una manera mas simple?

elbocha01

Buen dia, edite:
Los limiter están de esta manera: salida = source
entrada=destination
Mask = 32
a 1Mb

Alguien que me pueda dar una mano guiándome por que no quiere!!! :( ?
lo que me falta resolver es lo siguiente.
Si es necesario re configuro toda la parte de las rules, pero si des habilito esas reglas y limito las del failover me pone toda la red a 1mb y no ip por ip, ya lo probe :( arriba las reglas del failover, al principio del post están las fotos, esas no tienen limitadores en este momento.
Yo tengo 25 reglas en el firewall creadas en conjunto de 25 alias con 10 n° de ip por alias, navega el conjunto con limite a 1 mb, si me surgiese la necesidad de limitar todo el segmento para que cada una de las maquinas navegue a 1Mb por ej. Tendría que crear 254 reglas de firewall o hay una manera mas simple?
Les cuelgo como ha quedado la configuración, por mas que he puesto el /32 sigo con el problema de que no me separa el bloque como ip por ip, no lo logro hacer funcionar. y me parece aberrante que tengas que crear 254 reglas en el firewall para hacerlo andar maquina por maquina, tengo la idea de que alguien lo pensó para que sea mas sencillo aunque no lo sepa hacer.

![Captura de pantalla de 2017-08-24 08:58:48.jpg](/public/imported_attachments/1/Captura de pantalla de 2017-08-24 08:58:48.jpg)
![Captura de pantalla de 2017-08-24 08:58:48.jpg_thumb](/public/imported_attachments/1/Captura de pantalla de 2017-08-24 08:58:48.jpg_thumb)
![Captura de pantalla de 2017-08-24 08:58:45.jpg](/public/imported_attachments/1/Captura de pantalla de 2017-08-24 08:58:45.jpg)
![Captura de pantalla de 2017-08-24 08:58:45.jpg_thumb](/public/imported_attachments/1/Captura de pantalla de 2017-08-24 08:58:45.jpg_thumb)
![Captura de pantalla de 2017-08-24 08:58:35.jpg](/public/imported_attachments/1/Captura de pantalla de 2017-08-24 08:58:35.jpg)
![Captura de pantalla de 2017-08-24 08:58:35.jpg_thumb](/public/imported_attachments/1/Captura de pantalla de 2017-08-24 08:58:35.jpg_thumb)
![Captura de pantalla de 2017-08-24 08:58:23.jpg](/public/imported_attachments/1/Captura de pantalla de 2017-08-24 08:58:23.jpg)
![Captura de pantalla de 2017-08-24 08:58:23.jpg_thumb](/public/imported_attachments/1/Captura de pantalla de 2017-08-24 08:58:23.jpg_thumb)

shadow25

Hola. Por lo expuesto sigues confundiendo algunas cosas. Te adjunto una imagen como deberia ser el limiter…

La version del Pfsense que utilizas tiene ese comportamiento cuando no configuras correctamente el limitador.
Para el problema de la cantidad de reglas simplemente debes aplicar el limitador (correctamente configurado) a la subred entera .. 192.168.0.1/24.

Saludos

Limiter.jpg_thumb

elbocha01

Esta es la configuración que tengo en el limitador, ahora replanteando cambiar a la nueva versión a ver si lo soluciono, el fin de semana lo estaré realizando, ni bien lo tenga lo publico, muchas gracias por la pronta respuesta.

limitador.jpg_thumb

shadow25

Hola. Ok. Espero que lo resuelvas. Asi como lo tienes "no" es lo correcto, como estas limitando la descarga deberias tener seleccionado "destination adress".

P.D: no es necesario que cambies la version del PF.

Saludos

elbocha01

Bueno, deje de lado la versión vieja de pf y actualice a la 2.3.4. los limitadores sin complicación alguna salieron funcionando de la manera correcta, los aplique directamente como shadow explica y cada dirección de ip se limita a 1 mb. Aplique directamente en el firewall-rules en la regla que tengo del failover los pipe y ya me lo aplica a la red entera. ip x ip. desde ya mil gracias por el seguimiento y a los que cooperaron!