Непрозр. squid не ограничивает скорость
-
Добрый день!
Помогите пож-та решить проблему.
На новом месте работы сейчас два отдельных шлюза(d-link dfl) до двух провайдеров. Часть рабочих станций на статике с gate1, часть переведена на dhcp с раздачей gate2. Всего рабочих станций 130. Перевести всех одним махом на dhcp не могу.
С pfsense знаком, решил и на новом месте сделать один шлюз на два провайдера со squid . Сначала доменными политиками перевести всех на squid, потом уже плавно всех на dhcp, с раздачей единого шлюза pfsense.
Есть сотрудники, которые забивают весь канал(40 Mbit). Думал средствами squid ограничить скорость и заодно собрать статистику.
Купили под это дело HP microserver Gen10+с 4 сетевыми картами. pfsense установлен и работает. На нём(pfsense) настроен непрозрачный squid на 3128 порту. Всё это пока в тестовом режиме, текущую схему не ломал(два отдельных шлюза как работали так и работают), т.е через squid пока ходит тестовая машина. NAT на файрволе pfsense закрыл, оставил только порт 3128.
НО, в непрозрачном режиме не ограничивается скорость, хотя все настройки сделаны.
С pfsense последний раз работал год назад, версия была 2.4. Там всё отрабатывало нормально.
И собственно вопрос, что неправильно настроил или это баг pfsense?
Для лучшего понимания прикрепил картинку -
Добрый
@fildenisЕсть сотрудники, которые забивают весь канал(40 Mbit). Думал средствами squid ограничить скорость и заодно собрать статистику.
Для этого есть limiter. Создаете алиас из особо резвых и ограничиваете им скорость.
НО, в непрозрачном режиме не ограничивается скорость, хотя все настройки сделаны.
https://docs.netgate.com/pfsense/en/latest/routing/multi-wan.html
Local Services
By default, traffic using a proxy such as Squid will bypass policy routing and use the default route for traffic at all times. It also bypasses expected outbound NAT and leaves via the WAN IP address directly.Policy routing traffic from the firewall itself is not currently possible, and as such, load balancing is not possible. Failover can be achieved in many cases by using default gateway switching under System > Advanced on the Miscellaneous tab.
Т.е. полноценно пользовать балансировку со сквидом не выйдет (
Тут https://forum.netgate.com/topic/84913/multi-wan-squid-squidguard-working-but-one-small-problem-blocked-page/ есть про непрозрачный режим и мультиван, но нет про нарезку трафика сквидом.
Если сквид не критичен - пользуйте лимитер. И закройте все порты во вне кроме необходимых.
https://docs.netgate.com/pfsense/en/latest/book/trafficshaper/limiters.html
www.youtube.com/watch?v=pk7hONu0b1c -
@werter Спасибо за ответ, я знаю Вы очень активны на форуме и многим здесь помогаете, но в данный момент мне нужен именно непрозрачный squid с ограничением скорости. Балансировка не нужна(первое время wan всё-равно будет один), мне нужен только squid. И он у меня работает и значит что я уже не привязан к двум другим шлюзам, но проблема с ограничением скорости в squid.
Сейчас раб. станции работают через nat на разных шлюзах. Я хочу раздать настройки прокси через доменные политики и привести к одному знаменателю(squid-pfsense) получение интернета. Потом я уже смогу плавно покрутить маршрутизацию и перевести всех на dhcp с одним шлюзом.
Моя текущая сеть разбита на сегменты, некоторые настройки маршрутизация сделаны по сегментам вручную и я не могу это изменить. Я не могу подменить хотя бы один из шлюзов pf-кой, чтобы резать шейпером, поэтому и решил перевести всех на прокси.
Поэтому вопрос пока открыт: почему не работает ограничение скорости в непрозрачном squid и как это исправить? Может во вкладке Services->Squid proxy->General->Advanced Options можно что-нибудь покрутить? -
@fildenis Ограничение скорости в Squid не очень хорошо работает с современными Web 2.0 / javascript сайтами, к примеру ограничение скорости нормально работает для multi-up.com , но не работает для disk.yandex.ru и ещё уйма примеров.
https://redmine.pfsense.org/issues/9913:
Squid Traffic Managment Settings mostly works with generic HTTP, so that, it may not work without HTTPS Interception if HTTPS is used and also might have problems if JS/TS/etc handling is involved here. But there is not any mention about those limits, so it would be good to add some clarifying note, because HTTPS and JS is widely used nowadays. -
@viktor_g said in Непрозр. squid не ограничивает скорость:
Спасибо. Ради интереса попробовал на другом шлюзе с похожим названием со squid, там тоже самое.
Тему закрываю, всем ещё раз спасибо. -
Добрый.
@viktor_gso that, it may not work without HTTPS Interception
Так сквид же умеет mitm. Или это только в транспаренте?