PfSense и видеонаблюдение.



  • На работе стоит pfSense с портами WAN, LAN, DMZ.
    На DMZ стоят в двух копрусах по штуке DVR RVi-R16LA.
    Настроены правила подключения к регистраторам и из локалки и из интернета.
    На самих видеорегистраторах всё нормально и видео и звук с микрофона.
    При просмотре программой на компах в локальной сети и при просмотре на смартфонах/планшетах и интернета при подключении
    видно подтормаживание изображения и звук от микрофона просто обрывается и потом появляется.
    Можно это как-то поправить?
    PfSense на Pentium 4 одноядерном, 1 Гб.
    Нагрузки особой не заметно CPU - 11~60%, Memory usage - 40%.



  • При просмотре программой на компах в локальной сети
    CPU - 11~60%

    60% - не очень хорошо.



  • @pigbrother:

    При просмотре программой на компах в локальной сети
    CPU - 11~60%

    60% - не очень хорошо.

    Ну, 60% вроде как пиковая нагрузка.
    Если смотреть не основной поток а дополнительный с качеством похуже, то звук более-менее нормальный,
    но тоже проглатывается и потом появляется.
    Может сами железки видеореистратора просто не справляются с трансляцией по сети 16 потоков, со звуком, правда, только одна камера?
    Да ещё человек 3-5 активных любителей понаблюдать.
    Может железка с pfSense не справляется?

    В принципе, надо будет провести эксперимент - подключить к видеорегистратору тупым свичём 100 Мбит.
    Один компьютер напрямую и посмотреть результат, если всё нормально, значит железка с pfSense
    не тянет…



  • В принципе, надо будет провести эксперимент - подключить к видеорегистратору тупым свичём 100 Мбит.
    Один компьютер напрямую и посмотреть результат, если всё нормально, значит железка с pfSense
    не тянет…

    Да, начать нужно именно с этого.



  • @pigbrother:

    В принципе, надо будет провести эксперимент - подключить к видеорегистратору тупым свичём 100 Мбит.
    Один компьютер напрямую и посмотреть результат, если всё нормально, значит железка с pfSense
    не тянет…

    Да, начать нужно именно с этого.

    Похоже, таки, железка с pfSense не тянет.  :(

    Сначала соединил пятипортовым свичём 100 Мбит. регистратор и компьютер охраны напрямую без посторонних клиентов.
    Всё нормально и на основном и дополнительном потоке и звук с микрофона нормально без дёрганий воспроизводится.
    Затем на двух свичах D-Link DSG-1510-28 в двух корпусах сделал VLAN для видеонаблюдения.
    В него воткнул компы охраны и регистраторы обоих корпусов, оптику между корпусами и шнурок в DMZ-порт железки с
    pfSense.
    Так вот компы охраны в одном VLAN-е с регистраторами работают нормально, изображение не дёргается, звук с микрофона
    не пропадает.
    А вот те, кто из инета или локалки подключаются к регистраторам через железку с pfSense, у них начинаются подтормаживания.
    Если включаешь микрофон на основном потоке, то начинает звук пропадать, на дополнительном потоке звук лучше,
    но тоже поддёргивается.
    Получается - или железка не справляется, хотя по графику загрузки процессор не особо и загружен, или надо какую-то приоретизацию трафика делать, хотя бы локалка-DMZ.

    У нас на железке с pfSense интернет канал от провайдера 10 Мбит.
    С неё в интернет лезут порядка 20 компов, да плюс в DMZ зону лезут из интернета с сайта бронирования номеров гости,
    шманают базу.
    Ну и видеонаблюдение до кучи.
    Но критической загрузки процессора и памяти не видно.



  • А каков поток от 16 потоков со звуком? Вполне возможно, что ресурсов ПК с pfSense для этого недостаточно, особенно если используются дешевые сетевые карты (Реалтек?).
    Предположу, что  видеорегистратор может "вещать" чем-то вроде мультикаста, специфичными пакетами, которые дополнительно нагружают pfSense.



  • @pigbrother:

    А каков поток от 16 потоков со звуком? Вполне возможно, что ресурсов ПК с pfSense для этого недостаточно, особенно если используются дешевые сетевые карты (Реалтек?).
    Предположу, что  видеорегистратор может "вещать" чем-то вроде мультикаста, специфичными пакетами, которые дополнительно нагружают pfSense.

    Нет, два регистратора по 16 каналов тащат только видео с аналоговых камер ч.б. и несколько цветных не HD качества.
    Поток по каждой камере прыгает от 80 до 1500 кбит/с.
    Основной поток конечно больше жрёт, дополнительный раза в два меньше.
    А микрофоны только по одной камере на каждом регистраторе.
    По нагрузке процессора pfSense не заметно, что он перегружен.

    Попробовать бы какую-то приоритизация трафика настроить.
    Чтобы, к примеру, звук и видео передавались с DMZ сети в локалку в первую очередь, а интернет трафик с
    WAN-порта во вторую очередь?



  • Это делается тут
    Firewall-Traffic Shaper-Wizards
    Полученные правила будут в    Firewal - lRules - Floating
    Их нужно будет отредактировать под свои IP и порты.

    Только учтите, что это дополнительно нагрузит вашего динозавра Pentium 4



  • @pigbrother:

    Это делается тут
    Firewall-Traffic Shaper-Wizards
    Полученные правила будут в    Firewal - lRules - Floating
    Их нужно будет отредактировать под свои IP и порты.

    Только учтите, что это дополнительно нагрузит вашего динозавра Pentium 4

    Вот за динозавра-то я и опасаюсь!  :)
    Спасибо за подсказку.

    Как говорится, не настраивай то, что работает…  :D
    Это как в фильме - "тренируйся вон, на кошках..."  ;D



  • Стало лучше!

    Интересная ситуация - на дашбоарде pfSense на DMZ-порту нет ошибок и сетевая карта работает на фуллдуплекс 100 Мбит.
    прописано вручную вместо автомата.

    А на порту свича подключение полудуплекс и куча коллизий и ошибок.
    Вручную прописал на порту свича 100 Мбит. и фуллдуплекс вместо авто и свершилось чудо, сетевая карта с портом
    договорились и ошибки и коллизии пропали.
    Трафик начал ходить в локалку из DMZ нормально и видио не подтормаживает и голос с микрофонов не прерывается,
    разве что чуть-чуть!



  • Рад, что вопрос решился.

    У меня было еще чудеснее. Микротик на гигабитном порту выдавал 100-700 килобит.
    При этом ошибки interface mismatch  сыпались не в лог, что ожидаемо, а в случайно запущенный терминал, запускать который не возникало необходимости, т.к. все работало. Помогла замена патчкорда.
    Но смешное не это, а то что "плохой" патчкорд на другой точке с таким же Микротиком заработал на полном гигабите.



  • @pigbrother:

    Рад, что вопрос решился.

    У меня было еще чудеснее. Микротик на гигабитном порту выдавал 100-700 килобит.
    При этом ошибки interface mismatch  сыпались не в лог, что ожидаемо, а в случайно запущенный терминал, запускать который не возникало необходимости, т.к. все работало. Помогла замена патчкорда.
    Но смешное не это, а то что "плохой" патчкорд на другой точке с таким же Микротиком заработал на полном гигабите.

    Таки, шаманский бубен сисадмину не зря дают!  :D



  • Доброе.
    @3vs:

    А на порту свича подключение полудуплекс и куча коллизий и ошибок.
    Вручную прописал на порту свича 100 Мбит. и фуллдуплекс вместо авто и свершилось чудо, сетевая карта с портом
    договорились и ошибки и коллизии пропали.
    Трафик начал ходить в локалку из DMZ нормально и видио не подтормаживает и голос с микрофонов не прерывается,
    разве что чуть-чуть!

    Сделать бэкап конфига свитча. Обновить прошивку свитча до посл. возможной. Всегда так делаю, т.к. очень часто сталкивался с проблемами на древних прошивках.


Log in to reply