Solucionado Limitadores Traffic Shapper
-
Buenas a todos se que este es un tema muy hablado y hay varios posts con problemas y soluciones pero no logro dar con la correcta limitacion de mis servicios
Tenemos servicios en dos centros de datos geograficamente separados, cada uno con pfsense conectados entre si con una VPN con Openvpn site to site por lo que hay comunicacion entre si para las replicaciones de nuestras bases de datos en la LAN de cada datacenter. el datacenter1 replica hacia datacenter2, por lo cual el DC1 genera trafico de salida y el dc2 de entrada.en el datacenter1 no debemos exceder de 100 mbs
en el datacenter2 no debemos exceder de 60 mbssin embargo debido a la replicacion excedemos el bandwidth permitido en ambos datacenters
cree los limitadores en cada firewall,
en el datacenter1 puse como limite 100mbs
en el datacenter2 puse como limite 60 mbsaplique los limiters en la regla LAN de cada firewall de la siguiente manera
protocol –--- source ------- port ------- gateway
ipv4* ---- * -------- * ------- *de esta forma no me ha funcionado.
Lo siguiente que pense fue que como los firewalls se comunican atraves de una vpn pues deberia limitar el trafico de openvpn.
Por lo cual limite tambien la regla de openVPN en cada firewallprotocol ----- source ------- port ------- gateway
ipv4* ---- * -------- * ------- *tampoco funciona.
Estoy probando limitando la ip publica de mi datacenter1 en mi datacenter2 en las reglas wan del datacenter2 de la siguiente manera:
DC2 firewall rules WAN
protocol ----- ----source ---------- port ------- gateway
ipv4* ---- ip pub DC1 ------- * ------- *tampoco funciona.
Ahora limite en mi DC1 en las reglas wan de la siguiente manera:
** DC1 firewall rules WAN**
protocol ----- ----source ---------- port ------- gateway
ipv4* ---- WAN NET ------- * ------- *Sigo revisando para ver si de esta ultima forma funciona....
Alguna sugerencia??
Saludos -
proba con soluciones que estan en este post, https://forum.pfsense.org/index.php?topic=137566.0, en ese post comente con el link de otro post mio que esta mas detallado, algo te debe fallar, por ai es la mascara 32, va eso es lo tipico :P comentanos
-
gracias por la respuesta, de hecho antes de publicar vi tus posts y a lo que entendi, cuando pones la mascara a 32 con su respectivo source/destination es para limitar el bandwidth a cada ip de la LAN osea, limitar a 10 mb cada ip por ejemplo. Lo que yo busco es limitar toda la LAN, osea que toda la LAN no exceda de 100mbs, 100mbs para todos los servidores en la LAN.
Eh probado poniendo la mascara buscando limitar por ip pero tampoco funciona, estoy pensando en que deberia buscar la forma de limitar la conexion peer to peer con el wizzard de traffic shaper, pero aun ando algo perdido en ese tema.en las graficas de Status -> traffic Graph veo:
datacenter1
LAN
host ip –-- bandwidth in ------ bandwidth out
db1 ---- x. kbs ----------------- 270 mbsdatacenter2
LAN
host ip ---- bandwidth in ------ bandwidth out
db2 ---- 270 mbs --------------- x kbstambien intente limitar asi:
datacenter1 Rules LAN
proto src Port Dest Port GW
ipv4* db1-DC1 * db2-DC2 * *datacenter2 Rules LAN
proto src Port Dest Port GW
ipv4* db2-DC2 * db1-DC1 * *pero tampoco funciona :(
-
Despues de algunas pruebas de speed test y revisando las graficas de trafico en pfsense me doy cuenta que funcionan los limitadores, por alguna razon no estoy limitando el trafico bandwidth entre datacenters en el lugar correcto ( LAN)
-
A mi tambien me estan dando algunos dolores de cabeza el mendigo traffic shaping. En cuanto a tu problem debo preguntarte, ya reseteaste tu tabla de states ?
En ocasiones se quedan las conexiones establecidas y no realiza el shapping mas que en las conexiones nuevas, por lo tanto hay que limpiar los states para que empiece aplicar el traffic shaping a cada conexion.
-
Gracias por tu sugerencia, tiene mucho sentido, lo aplicare por la noche ya que todo esto es en ambientes productivos.
Saludos -
Efectivamente, era cuestión de reiniciar los "STATES" de las conexiones en Diagnostics -> states -> reset states. Hasta ahora todo ha funcionado bien acorde a los limitadores establecidos. Gracias a todos
-
Excelente noticia pepe0505
Saludos