Ayuda en controlar (limitar) ancho de banda por subred con squid en funcionamiento



  • Buenas noches a la comunidad,

    Tengo una situación al cual quisiera que me apoyen.

    Tengo configurado este escenario en la red de mi trabajo.

    Balanceador (Pfsense1) --> Firewall + Proxy Squid (Pfsense2) --> LAN's Clientes

    Una representacion de la red

    isp1---|. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . | LAN1
    . . . . . .|____int0 ___ int1___Firewall+Squid __| LAN2
    isp2---|. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . | LAN3

    En el pfsense 2 he configurado 3 IP alias asociadas a la interfaz int1, cada ip alias realiza un nateo (outbound) para cada red lan.

    En el pfsense 1 en las reglas para la interfaz int0, he configurado que las configuraciones IP alias (source) con destino (any) sean limitadas a un determinado ancho de banda, por ejemplo: que los clientes de la lan1 sean limitados a 2 Mb, lan2 limitados a 5 mb y asi sucesivamente.

    Esta restrinccion funciona cuando configurar a los clientes sin proxy y sin definir reglas para que los clientes usen el proxy, hasta ahí todo bien funciona la limitacion.

    Pero cuando configuro la regla para que los clientes usen el proxy y configuro el proxy en cada equipo, la limitacion deja de funcionar, se toman todo el ancho de banda.

    Alguna sugerencia o detalle que me falte.
    Espero de sus apoyo
    Muchas gracias
    Saludos a la comunidad



  • Hola

    LO que tu quieres es configurar un delay_pool



  • No, las limitaciones lo quiero hacer en el balanceador (pfsense1) , no en el squid (pfsense2).

    Gracias por responder



  • Te suguiero los limiters, pero si las peticiones que sean filtradas por el squid no pobras aplicarlas a menos que tengas una rule floating



  • Buenas.

    Aplique los limiters (traffice shapers) en el balanceador (pfsense1) y en el pfsense2 sin squid los clientes usan el ancho de banda limitado

    Cuando activo el squid en el pfsense 2, los limiters no funcionan.

    Recien estoy familiarizandome con el producto pfsense, no se extactamente a que te refieres con rule floating.
    Si me puedes apoyar porfa
    Saludos


  • Rebel Alliance

    Con un Diagrama/Esquema "mas detallado" de la Red, y algunas capturas de pantalla de la configuración que utilizas, es posible que los compañeros te puedan ayudar/orientar.

    https://forum.netgate.com/topic/21817/recomendaciones-al-postear



  • Hola a todos aquí mando una simulación de la configuración de la red mi trabajo
    La configuración es muy parecida al entorno real.
    La razon por la simulo o virtualizo la red de mi trabajo es para que evitar errores de configuracion, etc...
    0_1530456716916_Imagen1.png

    Configuracion de Pfsense1

    0_1530458153006_Imagen2.png

    0_1530458170310_Imagen3.png

    0_1530458198120_Imagen4.png

    En pfsense 2 he configurado para la red 172.16.0.128/25 salga nateada por 10.10.10.6 y la red vlan38 172.16.9.128/25 por 10.10.10.5

    0_1530458440556_Imagen5.png

    En la regla LAN, libere la ip 172.16.0.129 (cliente), realizando el speedtest, los limiters si funcionan, lo mismo para la ip 172.16.9.129 de la red VLAN38

    0_1530458853257_Imagen6.png

    0_1530458863921_Imagen7.png

    Un ejemplo limitado a 5mb de la vlan38

    0_1530459246941_Imagen8.png

    Cuando configuro el proxy en los equipos y elimino esas reglas, no me permite realizar el speedtest "error de latencia" pero para verificar los limiters realizo descarga de archivos verificando en traffic graph superan los mb establecidos.

    Espero de sus apoyos

    Saludos



  • El Squid te mata el traffic shaper si utilizas en el pfsense perimetro el proxy SQUID.

    Si quieres usar proxy squid en el mismo pfsense perimetro y quieres limitar el consumo de ancho de banda. ya entra el juego los DelayPool, es decir configuración del squid propia.

    https://wiki.squid-cache.org/Features/DelayPools

    PD1: Pfsense-Perimetro: Pfsense que controla los enlaces ISP (WAN) y los segmentos LAN.

    PD2: Cuando instalas squid (proxy) en el Pfsense Perimetro y tienes ancho de banda configurado por traffic shaper o balanceo wan etc. Squid te mata dichas opciones por defecto.

    Saludos.



  • Disculpa un poco mi desconocimiento pero en que parte del proxy pfsense defino los delay pools en el entorno grafico o tendria que editar el archivo squid.conf en el terminal????

    Saludos



  • @cfsl94

    El portal web no tiene las opciones habilitadas, sin embargo, ellos dejan en la pestaña General en opciones avanzadas del squid, espacio para agregar aquellos parametros que no estan soportado en el gui de pfsense.

    No se recomienda editar directo el squid.conf ya que el se basa en una plantilla base. es decir los cambios tarde o temprano (en un reinicio, una actualización etc) los vas a perder.



  • Hola a todos,

    Ya pude hacer las limitación del ancho de banda por red. (:D)
    Consulta adicional: Si tengo un servidor web local en otra red donde realizo descargas vía web también sera limitado?? De ser así como haría para que las limitaciones funcionen hacia afuera (internet) y no se apliquen a redes internas??

    Gracias
    Saludos



  • @cfsl94 Hola una consulta, puedes explicar como hicistes las limitaciones, por que ando con el mismo problema