ограничение скорости пользователям



  • Добрый день.
    Недавно встала задача ограничить скорость выхода в интернет для сотрудников офиса…
    Открыл Traffic Shaper - > Limiters сделал два лимитера для вход и исход трафика, в их параметрах указал 8Мбит/с а все остальное по дефолту. Потом открыл Firewall -> Rules -> LAN в правиле разрешающем выход в интернет сотрудникам добавил эти лимитеры в соответствующие поля. Для себя конечно-же сделал правило без ограничений.

    НО, почему-то это работает очень интересно - с моей машины если тестить скорость то показывается ~20Мбит т.е. как и должно быть от провайдера. А для всех остальных скорость в районе 1 МБит/сек. Такое ощущение что указанные 8МБит/сек делятся на всех остальных, чей трафик идет по этому правилу. Более того, я пробовал снижать скорость в лимитерах до 5МБит/сек и реально общая скорость снижается до 5 мбит/сек.

    Это нормально, так и должно быть?
    Для наглядности прикрепляю график трафика на внешнем интерфейсе (от заббикса). Небольшой всплекс на графике в 16:12 это замер скорости с моего ПК на котором никаких ограничений нет.

    P.S. перезагружать PFsense пробовал, сбарсывать States тоже пробовал, версия Pfsense 2.3.1-RELEASE (amd64)




  • Limiters:
    00001:  8.000 Mbit/s    0 ms burst 0
    q131073  50 sl. 0 flows (1 buckets) sched 65537 weight 0 lmax 0 pri 0 droptail
    sched 65537 type FIFO flags 0x0 0 buckets 1 active
    BKT Prot Source IP/port_ Dest. IP/port Tot_pkt/bytes Pkt/Byte Drp
      0 ip          0.0.0.0/0            0.0.0.0/0      26    3373  0    0  0

    00002:  8.000 Mbit/s    0 ms burst 0
    q131074  50 sl. 0 flows (1 buckets) sched 65538 weight 0 lmax 0 pri 0 droptail
    sched 65538 type FIFO flags 0x0 0 buckets 1 active
      0 ip          0.0.0.0/0            0.0.0.0/0    698359 865758108 50 68528 85323



  • Сам спросил, сам ответил :)
    В общем нехватало в настройках лимитера указать MASK для исходящего трафика "destination…. а для входящего "source...."
    и заработало как надо



  • Добрый.
    Скрины настроек Лимитера.

    Потом открыл Firewall -> Rules -> LAN в правиле

    Правильнее создавать правила Лимитера\Шейпера во Floating rules.

    В общем нехватало в настройках лимитера указать MASK для исходящего трафика "destination…. а для входящего "source...."

    Указанием маски вы нарезали каждому гарантировано по 8Мбит/с, а не динамически на всех. Т.е. 2 сотрудника гарантировано отожрут 16 Мбит\с, три - 24 Мбит\с и т.д. Канал не уложат вам ?

    P.s. В будущем можно настроить Шейпер, если станет задача приоритизировать трафик - https://forum.pfsense.org/index.php?topic=126637.0



  • Если не указывать маску, как написано в некоторых статьях, то указанные 8Мбит распространяются на весь трафик который идет через правило. Т.е. тоже совсем не то что нужно.

    А можете рассказать как должно выглядеть правило в Floating rules?



  • Я уже лет 5 режу каптивпорталом по МАКам. В ДХЦП - статик АРП. Скорость стабильно, как прописано.



  • Это конечно хорошо, но хотелось бы разобраться….

    @werter:

    Указанием маски вы нарезали каждому гарантировано по 8Мбит/с, а не динамически на всех. Т.е. 2 сотрудника гарантировано отожрут 16 Мбит\с, три - 24 Мбит\с и т.д. Канал не уложат вам ?

    Это конечно перебор по 8Бит на человека, потом постепенно буду сокращать (до тех пор пока пищать не начнут). Но ничего лучше не придумал.

    Проблема была в том, что на весь офис 20Мбит, в котором работают 15 человек, и которые периодически что-то выкачивают (по работе) и бывает часто что канал забивается и остальным приходится ждать…..
    Может есть более правильное решение этой проблемы?

    Судя по тому что сказал werter, существует способ динамически распределять ширину канала, или я не так понял? Как такое можно сделать?



  • существует способ динамически распределять ширину канала, или я не так понял? Как такое можно сделать?
    https://www.reddit.com/r/PFSENSE/comments/3e67dk/flexible_vs_fixed_limiters_troubleshooting_with/


Log in to reply