Recomendaciones o tips para traffic shapping



  • Buenas noches sres.

    Una pregunta, tendran recomendaciones sobre configuracion de traffic shapping? Pregunto por lo siguiente:

    En mi LAN tengo 2 PFSENSE, el primero un version 2.3.1 lo utilizo para hacer todas las conexiones vpns 7 tuneles ipsec y dar salida a los servidores, en este no tengo nada de traffic shapping ni limitadores.

    El segundo PFSENSE version 2.3.4 lo uso para dar salida a internet a algunas estaciones de trabajo, ambas cajas en su interfaz lan tiene ip del mismo segmento por lo tanto se ven sin problemas, en este PFSENSE tengo configurado traffic shapping con CBQ , si bien el shapping funciona bien en cuanto al control del uso de ancho de banda, el problema esta en que cuando se quiere acceder a alguna carpeta compartida, por VNC, o por SSH de alguna pc que se encuentre en alguna de las LAN  de las sucursales (las cuales estan conectadas por los tuneles ipsec del pfsense 1)  estas conexiones son intermitentes, por ejemplo si estoy transfiriendo algun archivo de la matriz a las sucursales (por cualquier tunel ipsec) estas transferencias se caen, las conexiones de vnc se reinician, en fin, muchas intermitencia como cuando tienes una mala conexion a internet.

    La situacion anterior solo ocurre cuando uso de puerta de enlace mi PFSENSE 2, es decir MI ESTACION DE TRABAJO> PFSENSE2 > PFSENSE1 > SUCURSAL.

    Cuando uso directamente mi PFSENSE 1como puerta de enlace, nada de esto pasa, es decir mi traffic shapping esta tirando tambien los paquetes que van a las LAN de las sucursales, osea mi trafico forwardeado al PFSENSE1, esto a pesar que marque estos protocolos como la mas alta prioridad.

    Como puedo excluir este trafico del limitador, es decir que cuando yo use mi PFSENSE2 como puerta de enlace este no me tire ningun paquete que vaya dirigido a mi PFSENSE1.

    Anteriormente tenia esta misma configuracion y topologia, solo que en lugar de PFSENSE2 era un UBIQUITI EDGEROUTER lo que tenia, este hacia un trabajo perfecto en limitar el ancho de banda que recibian las workstations, y el trafico que iba desde este router hasta el PFSENSE1 no me lo tocaba para nada, se hacian las conexiones sin problema alguno.

    He leido en algunos foros y he visto que varios usuarios comentan siempre tener dolores con el traffic shaping en pfsense, no se si es por la complejidad o porque de plano este modulo esta defectuoso, ojala alguien tenga alguna experiencia que me pueda compartir.

    Gracias

    UPDATE 29-10-2017  ;D :o

    Les cuento que he resuelto mi problema, despues de hacer unas capturas de paquetes y estar experimentando por varias horas me di cuenta que PFSENSE trata de una manera un tanto distinta la cuestion de los STATES, distinta a como lo hacia el EDGEROUTER, encontre tambien una documentacion de pfsense al respecto, es sobre enrutamiento asimetrico, dado que mis gateways estan en la misma subnet parece ser que por la manera que maneja los states pfsense me estaba tirando los paquetes, para no hacer el cuento largo la documentacion que encontre me dio la pista, la aplique como tal y no funciono, por lo que hice una combinacion de la manera automatica y la manera manual . https://doc.pfsense.org/index.php/Asymmetric_Routing_and_Firewall_Rules

    A continuacion una muestra de las pruebas con IPERF entre una workstation y un equipo de una sucursal:

    Antes de aplicar la configuracion (cuando fallaba) IPERF no lo graba ni si quiera correr un intervalo al maximo ancho de banda y posteriormente se caia y fallaban los demas intervalos

    Despues de aplicar la configuracion ya dio el ancho de banda del enlace y no fallo ningun intervalo

    Las configuraciones que aplique son las siguientes
        System>Advanced>Firewall & NAT

    En mi regla de LAN NET to any, aplique el tipo de state SLOPPY

    Se acabaron las desconexiones.

    Gracias a los que trataron de ayudar.



  • Buenas Tardes, en mi experiencia, el limitador de trafico de pf sense funciona genial, una vez que lo entiendes. si estas limitando con el setup al que le pones siguiente siguiente siguiente, en mis casos me ha causado dolores de cabeza, opte por, tal segmento de ip meterlo como alias, y agregar una regla de firewall con los pipes y voala, trafico limitado para cada ip del segmento elegido. Esta es la forma en la que limito todo el trafico de la red, puede que la otra manera todabia no la maneje, pero estare al tanto de este post por si alguien explica algo mas. Espero ser de ayuda :)



  • @elbocha01:

    Buenas Tardes, en mi experiencia, el limitador de trafico de pf sense funciona genial, una vez que lo entiendes. si estas limitando con el setup al que le pones siguiente siguiente siguiente, en mis casos me ha causado dolores de cabeza, opte por, tal segmento de ip meterlo como alias, y agregar una regla de firewall con los pipes y voala, trafico limitado para cada ip del segmento elegido. Esta es la forma en la que limito todo el trafico de la red, puede que la otra manera todabia no la maneje, pero estare al tanto de este post por si alguien explica algo mas. Espero ser de ayuda :)

    Gracias por tu respuesta, es buena idea como tu lo implementas, sin embargo lo que yo necesito no es un segmento sin traffic shapping  y otro con, sino que el traffic shapping solo aplique a lo que va al internet, es decir lo que sale  de ese pfsense por la wan que si se le apliquen reglas de traffic shapping, pero no quiero que  el trafico que se redirige de manera local al otro pfsense que conecta con las 7 sucursales se le aplique reglas, a lo mejor estoy explicandolo mal pero mira lo pondre con ips:

    Para propositos ilustrativos supongamos que tengo las ips de google dns en mis wan

    PFSENSE 1
    WAN: 8.8.8.8
    LAN: 192.168.1.1/24
    TUNEL IPSEC: 172.16.1.0/24
    TUNEL IPSEC: 172.16.2.0/24
    TUNEL IPSEC: 172.16.3.0/24
    TUNEL IPSEC: 172.16.4.0/24
    TUNEL IPSEC: 172.16.5.0/24
    TUNEL IPSEC: 172.16.6.0/24
    TUNEL IPSEC: 172.16.7.0/24

    PFSENSE 2:
    WAN:8.8.4.4
    LAN: 192.168.1.2/24

    PC DE USUARIO:
    LAN: 192.168.1.3/24
    GW 192.168.1.2

    Cuando yo voy al internet desde la pc del usuario obviamente voy a mi GW el pfsense2 y salgo directamente y este me aplica las reglas por lo que tengo limitado mi ancho de banda, hasta ahi esta bien el asunto.

    Cuando voy a alguna LAN de mis 7 sucursales (las que estan conectadas en el pfsense1) mi primer hop es mi GW que es el pfsense2 y como este no tiene conectadas estas LAN busca en su tabla de rutas estaticas y encuentra que estas lan por ejemplo la 172.16.1.0/24 se encuentra conectada al PFSENSE1 192.168.1.1, por lo tanto ese trafico lo redirige hacia esta caja la cual permite la conexion a las vpns a estas  redirecciones me les aplica traffic shapping que NO quiero que pase por que se me caen los paquetes del vnc, del ssh, etc (a pesar de tenerlos como protocolos prioritarios en la configuracio del traffic shapping).

    Tendras alguna idea de como excluir este trafico?



  • Podrias utilzar alguna regla que se ubique antes de la regla de salida a internet de tus hosts, aplicando una regla de shaping que solo sea un accept y sin ningun tipo de restricción.

    La teoria dice que el trafico de las interfaces de ipsec no debería de pasar por la interface WAN y por lo mismo las politicas de traffic shaping si estan bien aplicadas no deberían de afectar este trafico.

    En tu caso por el esquema de cascada de que tienes, todo el trafico pasa por tu interface WAN, lo que afecta el trafico de los paquetes.  Quiero pensar que estos paquetes salen sin NAT de pormedio.

    saludos



  • y bueno genera alias, por eso te decía, podes poner que se yo, 25 ip en un alias, y a esas solas les aplicas los pipes por reglas de firewall, el resto de la red lo excluis, o bueno eso va a necesidad, es solo un ejemplo. (Aclaro, si mal no lo entiendo, podes limitar un puerto con pipes, ej el 80 y el 443, salidas de internet x browser) y Creo que lo podrías tranquilamente ajustar a lo que planteas. no se si me explico, aca un esta un problema que me tope, pero muestro un poco que topologia tengo. https://forum.pfsense.org/index.php?topic=135287.0



  • Gracias por tu respuesta, es buena idea como tu lo implementas, sin embargo lo que yo necesito no es un segmento sin traffic shapping  y otro con, sino que el traffic shapping solo aplique a lo que va al internet, es decir lo que sale  de ese pfsense por la wan que si se le apliquen reglas de traffic shapping, pero no quiero que  el trafico que se redirige de manera local al otro pfsense que conecta con las 7 sucursales se le aplique reglas, a lo mejor estoy explicandolo mal pero mira lo pondre con ips:

    alguna vez tuve la duda si el trafic shaper afectaba mi trafico local (LAN) para lo que me contestaron los siguiente: El trafico entre Hosts del mismo segmento de Red No "pasa" por el GW (se establece directamente entre Hosts)

    Otra cosa, haz probado apuntando directamente a tu pfsense1, pero haz probado apuntando al pfsense2 y de ahi al pfsense1 pero sin limitadores en ninguno de los 2? entiendo que quieres limitar pero estamos seguros que trafic shaper es el que tira la conexion?



  • @acriollo

    No aplico NAT, y en cuanto al trafico ipsec se podria decir que si pasa por la WAN ya que la interfaz ipsec es virtual, sin embargo la WAN por la que pasa este trafico ipsec es por la del PFSENSE 1, el que no tiene ningun tipo de restriccion.

    @elbocha01
    A lo que tu te refieres es como a un policy based routing?

    @pepe0505
    Entendiste perfecto lo que trato de exponer.

    Como bien te dijeron el trafico entre hosts no pasa por el GW, es decir mi trafico de pfsense2 al 1, y si estoy bien seguro que es el traffic shaping del 2 el que provoca que se caigan las conexiones, ya que si uso directamente como GW el PFSENSE1, no tengo este problema.

    Como comente, esta topologia, y configuracion la tenia hace algunas semanas, solo que en lugar de PFSENSE2 usaba un ubiquiti edgerouter en cual tambien hacia traffic shapping.



  • mmmm, bueno vamos a revisar un poco mas a fondo, subí, captura de las reglas de firewal, del traffic shapping que has configurado y lo que te parezca que seria útil para encontrar la solución :)
    consulta, el Traffic Shaper lo realizaste con el wizard?



  • Que pasa si excluyes esas redes del shaping ? o como estan las reglas? seria bueno que de ser posible nos pusieras aqui las reglas de shaping que tienes



  • Hola Sres.

    Solo para darles un update sobre el caso:

    El problema parece no radicar en el traffic shapping, hoy hice pruebas nuevamente eliminando todas esas configuraciones, y para mi sorpresa ocurre el mismo problema.

    Seguire investigando al respecto, en cuanto localice la falla les doy update para que alguien tome la experiencia por si le sirve.

    Saludos



  • Les cuento que he resuelto mi problema, despues de hacer unas capturas de paquetes y estar experimentando por varias horas me di cuenta que PFSENSE trata de una manera un tanto distinta la cuestion de los STATES, distinta a como lo hacia el EDGEROUTER, encontre tambien una documentacion de pfsense al respecto, es sobre enrutamiento asimetrico, dado que mis gateways estan en la misma subnet parece ser que por la manera que maneja los states pfsense me estaba tirando los paquetes, para no hacer el cuento largo la documentacion que encontre me dio la pista, la aplique como tal y no funciono, por lo que hice una combinacion de la manera automatica y la manera manual . https://doc.pfsense.org/index.php/Asymmetric_Routing_and_Firewall_Rules

    A continuacion una muestra de las pruebas con IPERF entre una workstation y un equipo de una sucursal:

    Antes de aplicar la configuracion (cuando fallaba) IPERF no lo graba ni si quiera correr un intervalo al maximo ancho de banda y posteriormente se caia y fallaban los demas intervalos

    Despues de aplicar la configuracion ya dio el ancho de banda del enlace y no fallo ningun intervalo

    Las configuraciones que aplique son las siguientes
        System>Advanced>Firewall & NAT

    En mi regla de LAN NET to any, aplique el tipo de state SLOPPY

    Se acabaron las desconexiones.

    Gracias a los que trataron de ayudar.


Log in to reply