Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Traffic Shaper mit IPv6 over IPv4 Tunnelbroker / Multi WAN / Multi LAN

    Deutsch
    1
    1
    181
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • H
      hudriwudri
      last edited by

      Hallo Ihr,

      Ich stehe von einem Rätsel im Zusammenhang mit Traffic Shaping, welches ich auch mit Hilfe von Suchmaschinen leider nicht lösen konnte.

      Wie stelle ich das Traffic Shaping auf einem Interface ein, über welches ein Tunnel geleitet wird.
      Im konkreten Fall. IPv6 Tunnel over IPv4 bzw. OpenVPN Tunnel über das selbe IPv4 Interface.
      Erschwerend kommt noch dazu, dass ich 2 WAN Interfaces (Failover) und mehrere (6) LAN Netze habe.

      Ich hab versucht kurz mein Netzwerk zu skizzieren.
      HomeNetwork.png

      Kurz noch eine Beschreibung in Prosa:

      • WAN1 Glasfaser Anbindung über PPPoE (200Mb down / 20Mb up) direkt an PfSense (em0) angebunden .
      • CAM ein eigenes Netz für die Überwachungskamera im CarPort - da ich seit kurzem als WAN Failover einen Mobilfunk Anbieter verwende, legte ich CAM auf VLan30, welche tagged an der PfSense em3 hängt.
      • WAN2 Mobilfunk (20Mb down / 5Mb up - leider sehr instabil) wegen besseren Empfangs im Freien über einen kleinen Switch (VLan20) bridged angebunden. - auf der PfSense an Port em2 (untagged).
      • Für meine BesucherInnen gibt es dann noch ein VLan50 GUEST, welches an einem AccessPoint ein GästeWlan zur Verfügung stellt. (em3)
      • ADMIN mein letztes VLan(10) ermöglicht mir alle Infrastrukturgeräte in einem eigenen Netz zu verwalten und somit von LAN/CAM/GUEST auszusperren.
      • Schlussendlich natürlich noch mein LAN (em1) Netz - da spielt sich eigentlich das Meiste ab.

      Direkt an der PfSense hängt dann noch am Netz

      • PDU (em4) eine über eine grafische Oberfläche schaltbare Stromleiste - direkt, damit ich auch Zugriff auf die Stromleiste hab, wenn der Switch ausgeschaltet wird.
      • Schlussendlich noch NOTFALL (em5) - wenn ich mich wirklich mal aussperre, dann will ich über diesen Port mich einfach direkt anstöpseln und hab wieder Zugriff um "nach zu bessern".

      die IPv4 Gateways hab ich zu einer GatewayGruppe zusammengefasst (WAN1 Tier1, WAN2 Tier2 - Failover)

      zusätzlich noch die Tunnel:

      • WAN1_V6 - eine IPv6 Anbindung über tunnelbroker.net (over WAN1)
      • VPN_OUT - ein OpenVPN Client, der einen anonymeren Zugang über einen VPN Anbieter zur Verfügung stellt (GatewayGruppe)
      • VPN_IN - mein eigener OpenVPN Server, damit ich vom Handy aus auf mein Heimnetz zugreifen kann (GatewayGruppe)

      Direkt auf WAN1 und WAN2 konnte ich den Traffic Shaper mit Hilfe dieser Anleitung einrichten. Ich hab mir jeweils (WAN1/2) folgende Queues eingerichtet:

      • qACK_WAN1/2 (Acknowledge Queue)
      • qSystem_WAN1/2 (DNS, NTP, ICMP, ...)
      • qFirma_WAN1/2 (alles was von meinem Firmenlaptop aus (direkter VPN Tunnel am Client) aus geht)
      • qHigh_WAN1/2
      • qDefault_WAN1/2
      • qLow_WAN1/2

      Auf WAN1 und WAN2 Interface funktioniert auch das TrafficShaping, aber sobald dann z.B. etwas über VPN_OUT/WAN1_V6 geht, ist es vorbei. Ich schaffe es weder, auf dem jeweiligen Interface eine Floating Rule zu setzen, welche mir den Datenverkehr in z.B. eine qLow legt, noch auf WAN1/WAN2 (da ist es für mein Verständnis auch zu spät - oder liege ich da falsch?)

      Weiters stelle ich mir die Frage - wie schafft man es, schlussendlich doch nicht 200% auf WAN1 zu bekommen, denn VPN_OUT hat ja auch eine maximale Downloadrate von 200Mb (wie WAN1 Interface, über das der Datenverkehr ja in Wirklichkeit geht). Wenn jetzt auf WAN1 die Bandbreite von 200MB eingetragen, und auch auf VPN_OUT die 200Mb Bandbreite gesetzt ist, würde ja nichts den Verkehr drosseln. Aber in Wirklichkeit gehen nicht mehr als die 200Mb von WAN1.

      Die selbe Frage stellt sich mir natürlich auch bei den anderen Schnittstellen (WAN1_V6, VPN_IN, GUEST).

      ADMIN, CAM, PDU, NOTFALL müssen sowieso nicht ins Internet (oder zumindest müssen die nicht eingeschränkt werden - da kommt so gut wie nichts daher - außer ich mache ein Firmware Upgrade)

      Beim GUEST Net hätte ich gerne eine Limitierung auf maximal 10% der jeweiligen (WAN1/WAN2) Schnittstelle zu Zeiten, wo mehr Datenverkehr ist.

      Ansonsten sollten immer alle Ressourcen den jeweils anderen zur Verfügung gestellt werden, so dass wenn nur eine Queue verwendet wird, immer 100% zur Verfügung stehen.

      Ich hoffe, dass ich mich halbwegs ausdrücken konnte, wo meine Probleme liegen und was mein gewünschtes Ziel wäre. Ich harre Eurer Tipps, Links und (fast sicher benötige ich das auch noch) Erklärungen.

      Vorab schon mal Danke an ALLE, die das Forum zu dem machen, was es ist!

      1 Reply Last reply Reply Quote 0
      • First post
        Last post
      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.