Problème avec le Traffic Shaping pour limitation bande passante



  • Bonjour à toutes et à tous !  :)

    Contexte : Milieu PRO
    Niveau expertise de l'administrateur: ASSISTANT IT en contrat d'alternance en 2ème année d'un DUT Réseaux & Télécoms.
    Age de la solution firewall: routeur pfsense déjà en place depuis 2ans, et c'est pour une évolution (ajout de configuration, donc en ce moment test sur autre routeur pfsense)

    Alors, voilà je vous explique la situation brève de l'entreprise: C'est une entreprise qui comporte 60 employés, qui à un réseau 1Gb/s et qui va bientôt passer en 10Gb/s (fibre noire pour relier deux sites). Chaque jour, tous les employés téléchargent et envoient de lourdes données sur les serveurs pour récupérer et envoyer des fichiers (entre 100Mo et 30Go le fichier), etc. Mais actuellement, aucune règle de QoS n'est mise en place pour la priorité de la bande passante et en sachant que tout les employés ouvrent 2/3 onglets sur les services de streaming (Youtube/dailymotion, spotify, etc…), les transfert ne sont pas optimaux car cela bouffe de la bande passante

    Besoin : J'ai pour projet de mettre en place avec pfSense une solution pour limiter la bande passante des utilisateurs pour les accès de types streaming / téléchargement: streaming en priorité. En plus de cela il faut ajouter des exclusions pour certain ports (21 & 22 pour le FTP par exemple) mais également ajouter des exclusions pour ne pas brider la bande passante pour des accès spécifiques à des serveurs qui ne sont pas présents sur le réseau local de l'entreprise.

    Schéma : Je vous met le schéma de ma solution en test.

    WAN: 1 WAN, adressage: 192.168.12.0/24, DHCP fourni par le routeur pfSense actuel

    LAN : 1 LAN, pas de vlan,adressage, pas de DHCP ou DNS resolver/relay, DNS(192.168.12.254/192.168.12.253)

    pas de DMZ

    pas de wifi

    Autres interfaces : pas d'autre interfaces, seulement 1 WAN et 1 LAN

    Règles NAT : aucune règle ajoutée,règle outbound automatique

    Règles Firewall :

    WAN: aucune règles
    Floating aucune règles,
    LAN: 1 seule règle pour le problème que je vais vous présenter par la suite

    Packages ajoutés :

    • Squid Proxy: pour interception HTTP et HTTPS, proxy opérationnel et certificat valide aucun soucis là-dessus.
    • ntopng: pour visualiser le trafic et voir l'utilisation de la bande passante etc, établir la conso de chaque utilisateur à la journée, à la semaine et au mois.

    Autres fonctions assignées au pfSense : rien

    Question : Je vous décris ma configuration pour que vous compreniez ce que j'ai essayé de faire.

    J'ai essayé de mettre en place le traffic shaping avec les Queues tout d'abord, j'ai créer ceci:


    LAN → 100 Mbit/s
    qInternet → 5Mbits/s – Explicit Congestion Queue
    qHTTP → 5Mbits/s – Explicit Congestion Queue
    qLAN → 90Mbit/s - Default Queue

    WAN → 100 Mbits/s
    qInternet → 5Mbits/s – Explicit Congestion Queue
    qHTTP → 5Mbits/s - Congestion Queue
    qWAN → 5Mbits/s (90Mbit/s normamement) – Default Queue

    Ensuite j'ai créé une règle dans LAN:


    J'applique la queue qInternet et qHTTP à la règle pour que le poste ayant l'@IP 10.10.10.10 soit bridé à 5Mbit/s.

    J'ai ensuite vérifier dans le menu Status > Queues, si les Queues étaient actives lorsque du trafic se générait sur le PC.

    1er test: aucun traffic (les queues ne sont pas actives)

    2ème test: speedtest

    On voit bien que les 2 Queues que j'ai renseigné dans la règle de Firewall sont actives et cela fait son boulot

    Pour le test en UPLOAD c'est la même chose les queues sont actives mais sur l'interface WAN

    Mon problème est que dès que j'effectue autre chose que le speedtest, téléchargement / streaming youtube / chargement pages web etc, les Queues ne sont plus sollicités comme si la règles de Firewall ne s'appliquait plus, comme vous pouvez le voir sur la capture ci-dessous ou le téléchargement passe tranquilou.

    J'ai essayé de mettre en place les queues avec le Wizard, le résultat est le même.
    J'ai essayé avec le Scheduler de type CBQ en appliquant les priorité et en ajoutant Active Codel Queue en plus des Explicit Congestion sur les queues, le résultat était le même que les captures présentées ci-dessus.

    Je ne vous le cache pas que j'ai tout essayé  :-\ (enfin je crois), j'ai recherché sur google, sur le forum pfSense Anglais, espagnol, allemand et français, j'ai trouvé et testé des solution qui je pensait fonctionnerait, c'est pourquoi je pose mon problème aujourd'hui.

    J'ai essayé aussi avec le Limiters, la même, speedtest ou avec iperf3, cela bride mais dès que l'on streaming ou download…

    Mes questions:

    Le problème vient-il d'une mauvaise configuration ?
    Est-ce un problème lié au proxy Squid du fait qu'il effectue du filtrage SSL et donc interception HTTPS et qu'il ne peut brider la bande passante à cause de cela ?
    Est-ce une mauvaise compréhension des différents type de Scheduler ? Que j'utilise le mauvais Scheduler pour mon besoin ?
    Est-ce une mauvaise compréhension de ce que sont les Queues et leur fonctionnement ?
    Est-il possible actuellement avec pfSense et la dernière version 2.4.2-RELEASE-p1 (amd64) de limiter la bande passante ?

    Merci pour votre lecture, j'espère avoir bien rédigé et dites moi si j'ai oublié certaines informations ^^



  • Deux choses rapidement car j'ai peu de temps et peu d'expérience du trafic shaper.
    Merci d'avoir pris le temps d'exposer votre besoin de façon détailler et claire.

    tout les employés ouvrent 2/3 onglets sur les services de streaming (Youtube/dailymotion, spotify, etc…), les transfert ne sont pas optimaux car cela bouffe de la bande passante

    Cela correspond bien à une besoin métiers et est un usage légitime dans l'entreprise ?

    Est-il possible actuellement avec pfSense et la dernière version 2.4.2-RELEASE-p1 (amd64) de limiter la bande passante ?

    Je ne sais pas sur quelle version vous êtes actuellement. Je me souviens que le trafic shaper a été totalement refondu il y a quelques versions de cela.  Vérifiez aussi si cela vous concerne ou non.


Log in to reply