Ayuda en controlar (limitar) ancho de banda por subred con squid en funcionamiento

cfsl94

Buenas noches a la comunidad,

Tengo una situación al cual quisiera que me apoyen.

Tengo configurado este escenario en la red de mi trabajo.

Balanceador (Pfsense1) --> Firewall + Proxy Squid (Pfsense2) --> LAN's Clientes

Una representacion de la red

isp1---|. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . | LAN1
. . . . . .|____int0 ___ int1___Firewall+Squid __| LAN2
isp2---|. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . | LAN3

En el pfsense 2 he configurado 3 IP alias asociadas a la interfaz int1, cada ip alias realiza un nateo (outbound) para cada red lan.

En el pfsense 1 en las reglas para la interfaz int0, he configurado que las configuraciones IP alias (source) con destino (any) sean limitadas a un determinado ancho de banda, por ejemplo: que los clientes de la lan1 sean limitados a 2 Mb, lan2 limitados a 5 mb y asi sucesivamente.

Esta restrinccion funciona cuando configurar a los clientes sin proxy y sin definir reglas para que los clientes usen el proxy, hasta ahí todo bien funciona la limitacion.

Pero cuando configuro la regla para que los clientes usen el proxy y configuro el proxy en cada equipo, la limitacion deja de funcionar, se toman todo el ancho de banda.

Alguna sugerencia o detalle que me falte.
Espero de sus apoyo
Muchas gracias
Saludos a la comunidad

gersonofstone

Hola

LO que tu quieres es configurar un delay_pool

cfsl94

No, las limitaciones lo quiero hacer en el balanceador (pfsense1) , no en el squid (pfsense2).

Gracias por responder

gersonofstone

Te suguiero los limiters, pero si las peticiones que sean filtradas por el squid no pobras aplicarlas a menos que tengas una rule floating

cfsl94

Buenas.

Aplique los limiters (traffice shapers) en el balanceador (pfsense1) y en el pfsense2 sin squid los clientes usan el ancho de banda limitado

Cuando activo el squid en el pfsense 2, los limiters no funcionan.

Recien estoy familiarizandome con el producto pfsense, no se extactamente a que te refieres con rule floating.
Si me puedes apoyar porfa
Saludos

ptt

Con un Diagrama/Esquema "mas detallado" de la Red, y algunas capturas de pantalla de la configuración que utilizas, es posible que los compañeros te puedan ayudar/orientar.

https://forum.netgate.com/topic/21817/recomendaciones-al-postear

cfsl94

Hola a todos aquí mando una simulación de la configuración de la red mi trabajo
La configuración es muy parecida al entorno real.
La razon por la simulo o virtualizo la red de mi trabajo es para que evitar errores de configuracion, etc...

Configuracion de Pfsense1

En pfsense 2 he configurado para la red 172.16.0.128/25 salga nateada por 10.10.10.6 y la red vlan38 172.16.9.128/25 por 10.10.10.5

En la regla LAN, libere la ip 172.16.0.129 (cliente), realizando el speedtest, los limiters si funcionan, lo mismo para la ip 172.16.9.129 de la red VLAN38

Un ejemplo limitado a 5mb de la vlan38

Cuando configuro el proxy en los equipos y elimino esas reglas, no me permite realizar el speedtest "error de latencia" pero para verificar los limiters realizo descarga de archivos verificando en traffic graph superan los mb establecidos.

Espero de sus apoyos

Saludos

j.sejo1

El Squid te mata el traffic shaper si utilizas en el pfsense perimetro el proxy SQUID.

Si quieres usar proxy squid en el mismo pfsense perimetro y quieres limitar el consumo de ancho de banda. ya entra el juego los DelayPool, es decir configuración del squid propia.

https://wiki.squid-cache.org/Features/DelayPools

PD1: Pfsense-Perimetro: Pfsense que controla los enlaces ISP (WAN) y los segmentos LAN.

PD2: Cuando instalas squid (proxy) en el Pfsense Perimetro y tienes ancho de banda configurado por traffic shaper o balanceo wan etc. Squid te mata dichas opciones por defecto.

Saludos.

cfsl94

Disculpa un poco mi desconocimiento pero en que parte del proxy pfsense defino los delay pools en el entorno grafico o tendria que editar el archivo squid.conf en el terminal????

Saludos

j.sejo1

@cfsl94

El portal web no tiene las opciones habilitadas, sin embargo, ellos dejan en la pestaña General en opciones avanzadas del squid, espacio para agregar aquellos parametros que no estan soportado en el gui de pfsense.

No se recomienda editar directo el squid.conf ya que el se basa en una plantilla base. es decir los cambios tarde o temprano (en un reinicio, una actualización etc) los vas a perder.

cfsl94

Hola a todos,

Ya pude hacer las limitación del ancho de banda por red. (:D)
Consulta adicional: Si tengo un servidor web local en otra red donde realizo descargas vía web también sera limitado?? De ser así como haría para que las limitaciones funcionen hacia afuera (internet) y no se apliquen a redes internas??

Gracias
Saludos

JAM666

@cfsl94 Hola una consulta, puedes explicar como hicistes las limitaciones, por que ando con el mismo problema

cfsl94

Hola a todos,

Nuevamente estoy retomando este proyecto.

Estoy configurando nuevamente la red en un simulador, pero mi consulta que aun esta en el aire es si le aplico los delay pools ¿ Tambien se aplicara para las redes locales?

El ejemplo que les comentaba si un ciente hace vía web a un servidor local tambien se vera aplicado los delay pools??
¿Que configuraciones podria hacer para que los delay pools solo hagan resctricciones a la salida a Internet y no a nivel local?

Saludos