Помогите новичку.

atyltin

Всем привет.
Скажите какими средствами можно организовать разделение канала между тремя группами пользователей в AD?
Т.е. группа в АД BOSS - должна иметь максимальную скорость,  остатки делятся между группа Admins - максимум и если нет BOSS может забирать от BOSS, группа Users - 3Mb или то что осталось.

Что есть?
2 Провайдера.
Psense 2.3.2-RELEASE-p1(LDAP) + SQUID(winbind_ntlm) + SQUID GUARD(ldap) +samba3

судя по всему копать через deley_pools. Но в конфиге по умолчанию есть только один пул, и конфиг каждый раз перезаписывается? Как сделать 3 пула?
Куда лезть что бы исправить это?
Или есть другие методы или пакеты?

A Former User

Trafic shaper - читаем про него. Он будет резать для пользователей, соответственно, если добавить пользователей в PF то все будет резаться для них ;)
З.Ы. Задачка совсем не для новичка.

werter

Limiter. Не шейпер.

A Former User

@werter:

Limiter. Не шейпер.

Ой, звеняйте, описался. Неопытный, что прделаешь… Читал недавно про шейпер, вот и застряло в голове.

atyltin

@Bansardo:

Trafic shaper - читаем про него. Он будет резать для пользователей, соответственно, если добавить пользователей в PF то все будет резаться для них ;)
З.Ы. Задачка совсем не для новичка.

Жизнь такая. Только влез а уже такая задача. :(
Дык, каким образом PF возьмет пользователей из групп в АД?

Я пока вижу вариант только резать на squid  через  deley_pool. Вроде squid распознает пользователей через ад, но вот как прописать группу из ад пока не понятно. К тому же сквид в pfsense имеет только один пул. Выносить прокси на чистую фряху и там поднять нормальный squid?

Блин и скайп не работает.

swch

Этот вопрос уже обсуждался на этом форуме. Поищите.
Вот варианты решения:
http://www.thin.kiev.ua/router-os/50-pfsense/537-pfsense-20squid-ldap-ad-.html
http://www.fadmin.ru/vopros/pfsense-squid-ldap-ad
Правда у меня это работало только на 2.1.5 версии. После обновления до 2.3.2 все сломалось.
Долго не заморачивался и перешел на NTLM-авторизацию.
http://pf2ad.mundounix.com.br/en/index.html

atyltin

@swch:

Этот вопрос уже обсуждался на этом форуме. Поищите.
Вот варианты решения:
http://www.thin.kiev.ua/router-os/50-pfsense/537-pfsense-20squid-ldap-ad-.html
http://www.fadmin.ru/vopros/pfsense-squid-ldap-ad
Правда у меня это работало только на 2.1.5 версии. После обновления до 2.3.2 все сломалось.
Долго не заморачивался и перешел на NTLM-авторизацию.
http://pf2ad.mundounix.com.br/en/index.html

Здравствуйте. Спасибо за ссылки. В данный момент уже настроена NTLM авторизация. Это уже сделано и это работает.
Вопрос как к этой NTLM авторизации прикрутить внешние группы. + Это нормально что при NTLM авторизации после обновления SQUID она пропадает?
И вопрос в том что SQUID на pfSense имеет только один delay_pool. Конфиг его менять не получиться. Где задавать 5 dalay_pool? или править squid.inc и потом шедулером править файл?
Или я не совсем не туда лезу? И есть более красивое изящное решение порезать скорость для групп в АД?

Ну так для кучи вопрос со скайпом.
Какую такую авторизацию режет SQUID что сообщения ходят звонки нет, до тех пор пока не откроешь на пару минут squid и после этого звонки идут даже при закрытом SQUID.
Не прозрачный без SSL Man In the Middle Filtering еще даже гвард не ставил. Режет чисто SQUID. Работает если в Unrestricted IPs указать ip компа.

swch

Приветствую.

Уточните, зачем Вам группы?
Для резания полосы пропускания канала используется настройки файрвола раздел limiter.
Лучше всего этот процесс описан здесь: https://knasys.ru/8-pfsense-%D0%BE%D0%B3%D1%80%D0%B0%D0%BD%D0%B8%D1%87%D0%B5%D0%BD%D0%B8%D0%B5-%D1%81%D0%BA%D0%BE%D1%80%D0%BE%D1%81%D1%82%D0%B8-%D0%BF%D0%BE%D0%BB%D1%8C%D0%B7%D0%BE%D0%B2%D0%B0%D1%82%D0%B5%D0%BB%D0%B5/
Но там авторизация по IP или МАС.
Что бы резать скорость средствами прохи-сервера штатных средств нет. Есть костыли через services - squid proxy server - general - advanced features - Custom ACLS(After Auth). Вот тут можно вставлять прямые настройки типа delay pool.
Если группы нужны для ограничения доступа к сайтам, то настраивайте squidguard. Там есть настройки в том числе и через группы. У меня заработало.
По-поводу скайпа не скажу. Наверняка что-то простое и банальное. Он у меня работает. Подсказки: Шлюзом по-умолчанию для компьютера должен быть внутренний адрес pfsense. В IE должна быть настройка на проксю. В ACLs - Allowed Subnets я добавил все свои сетки. Попробуйте поиграться с настройками соединения в скайпе.
SSL Man In the Middle Filtering не включал.
Удачи.

atyltin

@swch:

Приветствую.
Уточните, зачем Вам группы?

Здравствуйте.
Спасибо за ссылки.
Группы нужны так как существующие каналы без контроля 500 пользователей выгрызает канал полностью. Надо директорам, дать быструю скорость, кому реально нужен инет хорошую скорость, остальным по братский. Соответственно директор скорость надо конкретному пользователю а не компу за которым он в данный момент сидит. Можно конечно выдавать IP на циске по 802.1x но это гемор, еще тот и не готова инфраструктура.

Второй вопрос.
Сейчас авторизация NTLM.
Т.е. в логах я вижу что пользователь такой пошел на такой сайт. Как-то так.
20.12.2016 14:50:35 x.x.x.x TCP_TUNNEL/200 s.ytimg.com:443 username 173.194.122.226
http://www.thin.kiev.ua/router-os/50-pfsense/537-pfsense-20squid-ldap-ad-.html
Здесь указано что надо добавить в Далее дополнительные параметры external_acl_type (см. картинку)
Нужно ли это делать или сразу писать acl ad_inet1m external ldap_users InetUsers1m и он это съест?
Как правильно?

заранее спасибо.

swch

По ссылке описана настройка для старой версии pfsense и squid 2.7. У меня так когда-то работало.
Для новой версии надо писать примерно тоже самое в окно которое я указал:  services - squid proxy server - general - advanced features - Custom ACLS(After Auth).
Пробуйте. Гугл в помощь.
Параметр external_acl_type nt_group %LOGIN /usr/libexec/squid/wbinfo_group.pl указывает где брать названия групп и он обязателен. Весь вопрос какой хэлпер брать.
Хэлперы лежат тут: /usr/local/libexec/squid.
Или использовать wbinfo_group.pl.
Пока сам с этим вопросом до конца не разобрался.
Резать тоже надо с умом. Может имеет смысл резать не по группам, а по типам файлов. Запрещать закачку музыки, видео, торрентов и т.п. А лучше отдельный канал для элиты Ж8-))

atyltin

@swch:

Резать тоже надо с умом. Может имеет смысл резать не по группам, а по типам файлов. Запрещать закачку музыки, видео, торрентов и т.п. А лучше отдельный канал для элиты Ж8-))

директор может и картинки качать и кино смотреть тут не угадаешь. :(

Kowalsky

У кого нибудь получилось в итоге собрать ограничение скорости в AD по группам, а то все статьи старые. Валиться с squid при вводе в Custom ACLS(After Auth).  Еще не понимаю какой хэлпер выбрать  пробовал ext_ldap_group_acl  но не удачно.
Может кто что подскажет?

werter

Доброе.
Попробуйте с Limiter-ом. Соберите ip в алиасы и резвитесь кому и сколько можно\надо.

Kowalsky

Можно конечно через ip, просто хотелось сделать без привязки ip или mac. Попробовал ограничивает. Но тут возник вопрос когда я вписываю в firewall правило ставлю нужный ip в in/out добавляю группу то получается так, что если пользователь уберет прокси то он будет иметь доступ без прокси, конечно же с ограничением по скорости. Как сделать так что бы было ограничение и если убрать прокси не было интернета как если бы было без правила ограничения трафика?

Kowalsky

Доброго дня.
Не могу понять почему через прокси нельзя измерить скорость интернета к примеру на сайтах 2ip  speedtest. Там что используются какие то порты которые закрыты firewall или что то ещё мешает протестировать скорость?

pigbrother

А это:
https://fast.com/
работает?

Kowalsky

да работает.