ограничение скорости пользователям
-
Добрый день.
Недавно встала задача ограничить скорость выхода в интернет для сотрудников офиса…
Открыл Traffic Shaper - > Limiters сделал два лимитера для вход и исход трафика, в их параметрах указал 8Мбит/с а все остальное по дефолту. Потом открыл Firewall -> Rules -> LAN в правиле разрешающем выход в интернет сотрудникам добавил эти лимитеры в соответствующие поля. Для себя конечно-же сделал правило без ограничений.НО, почему-то это работает очень интересно - с моей машины если тестить скорость то показывается ~20Мбит т.е. как и должно быть от провайдера. А для всех остальных скорость в районе 1 МБит/сек. Такое ощущение что указанные 8МБит/сек делятся на всех остальных, чей трафик идет по этому правилу. Более того, я пробовал снижать скорость в лимитерах до 5МБит/сек и реально общая скорость снижается до 5 мбит/сек.
Это нормально, так и должно быть?
Для наглядности прикрепляю график трафика на внешнем интерфейсе (от заббикса). Небольшой всплекс на графике в 16:12 это замер скорости с моего ПК на котором никаких ограничений нет.P.S. перезагружать PFsense пробовал, сбарсывать States тоже пробовал, версия Pfsense 2.3.1-RELEASE (amd64)
-
Limiters:
00001: 8.000 Mbit/s 0 ms burst 0
q131073 50 sl. 0 flows (1 buckets) sched 65537 weight 0 lmax 0 pri 0 droptail
sched 65537 type FIFO flags 0x0 0 buckets 1 active
BKT Prot Source IP/port_ Dest. IP/port Tot_pkt/bytes Pkt/Byte Drp
0 ip 0.0.0.0/0 0.0.0.0/0 26 3373 0 0 000002: 8.000 Mbit/s 0 ms burst 0
q131074 50 sl. 0 flows (1 buckets) sched 65538 weight 0 lmax 0 pri 0 droptail
sched 65538 type FIFO flags 0x0 0 buckets 1 active
0 ip 0.0.0.0/0 0.0.0.0/0 698359 865758108 50 68528 85323 -
Сам спросил, сам ответил :)
В общем нехватало в настройках лимитера указать MASK для исходящего трафика "destination…. а для входящего "source...."
и заработало как надо -
Добрый.
Скрины настроек Лимитера.Потом открыл Firewall -> Rules -> LAN в правиле
Правильнее создавать правила Лимитера\Шейпера во Floating rules.
В общем нехватало в настройках лимитера указать MASK для исходящего трафика "destination…. а для входящего "source...."
Указанием маски вы нарезали каждому гарантировано по 8Мбит/с, а не динамически на всех. Т.е. 2 сотрудника гарантировано отожрут 16 Мбит\с, три - 24 Мбит\с и т.д. Канал не уложат вам ?
P.s. В будущем можно настроить Шейпер, если станет задача приоритизировать трафик - https://forum.pfsense.org/index.php?topic=126637.0
-
Если не указывать маску, как написано в некоторых статьях, то указанные 8Мбит распространяются на весь трафик который идет через правило. Т.е. тоже совсем не то что нужно.
А можете рассказать как должно выглядеть правило в Floating rules?
-
Я уже лет 5 режу каптивпорталом по МАКам. В ДХЦП - статик АРП. Скорость стабильно, как прописано.
-
Это конечно хорошо, но хотелось бы разобраться….
Указанием маски вы нарезали каждому гарантировано по 8Мбит/с, а не динамически на всех. Т.е. 2 сотрудника гарантировано отожрут 16 Мбит\с, три - 24 Мбит\с и т.д. Канал не уложат вам ?
Это конечно перебор по 8Бит на человека, потом постепенно буду сокращать (до тех пор пока пищать не начнут). Но ничего лучше не придумал.
Проблема была в том, что на весь офис 20Мбит, в котором работают 15 человек, и которые периодически что-то выкачивают (по работе) и бывает часто что канал забивается и остальным приходится ждать…..
Может есть более правильное решение этой проблемы?Судя по тому что сказал werter, существует способ динамически распределять ширину канала, или я не так понял? Как такое можно сделать?
-
существует способ динамически распределять ширину канала, или я не так понял? Как такое можно сделать?
https://www.reddit.com/r/PFSENSE/comments/3e67dk/flexible_vs_fixed_limiters_troubleshooting_with/