Limit für gesamtes Netz

lenny_hai

Hallo zusammen,

ich habe schon eine ganze Weile rumgegoogelt, habe aber nicht das Richtige gefunden.

Ich habe eine pfsense mit einer WAN Leitung und >30 LANs in Form von verschiedenen VLANs.
Nun möchte ich die Bandbreite dieser VLANs begrenzen und zwar nicht wie in den meisten Anleitugen beschrieben per Host, sondern für das Netz an sich. Hat da wer einen kurzen Tipp?
Des Weiteren würde mich interessieren, ob man für jedes Netz verschiedene Limiter anlegen muss, auch wenn auf die gleiche Bandbreite limitiert werden soll. Meine Vorstellung wäre jeweils zwei Limiter (up/down) für 10Mbit/s, 20Mbit/s, 50MBit/s, die ich dann einfach und schnell zuweisen kann.
Ach und würde auch gerne das WAN limitieren, also die Gesamtbandbreite, vermutlich würde das aber dem angefragten Prinzip gleichen.

Viele Grüße Sven

micneu

@lenny_hai die pfsense doku zu limiter hat dir nicht geholfen?

NOCling

Ist ja im Prinzip immer das gleiche.

Ich verwende Codel für den Limiter und für die Queue selber.
Setzten ihn aber nur auf dem WAN ein, man kann ihn aber auch auf ein LAN Int setzen, dann halt entsprechend angepasst.
Ja für jeden Bandbreite ein eigenen Limitier mit Queue, sonst wüsste ich nicht wie du die einzelnen Bandbreite differenzieren willst.

lenny_hai

Moin,

@NOCling Das habe ich von fast vermutet, allerdings könnte mich das dann an die Grenzen bringen. In dem englischen Teil hat jemand berichtet, dass mehr als 31 oder 32 nicht gehen. Leider hat er da nie eine Antwort drauf erhalten.

@micneu Nein nicht wirklich, sonst hätte ich ja nicht gefragt. Ich vermute, dass man das masking weglässt, aber mir fehlt die Vorstellung für die Einstellungen darin.
/32 ist eine einzelne IP. Soweit so gut, dass ist das Standard Beispiel für den per User Limiter.
Aber mal angenommen, ich habe ein 24er Subnetz und Stelle da /25 ein. Dann gilt die Begrenzung für die hälfte der Clients? Das erschliesst sich mir nicht.

Viele Grüße Sven

NOCling

Du hast 3 Bandbreite geschrieben, wie kommst du jetzt auf über 30 Limiter?

Du packst mit Match ohne quick in Floating und baust dir dann die Bandbereiten auf die Objekte zusammen die du brauchst.

Ich brauche ihn nur fürs WAN, weil die LANs untereinander ruhig mit GBit sprechen können, wenn die denn wollen.
Aber bei WAN trifft halt GBit auf 50MBit im Upload und dann gibts halt Stau.

Du kannst die Limiter ja per Andbreite enlegen und dann über die Regeln etsprechend binden.

lenny_hai

@NOCling Das jmit den 3 Bandbreiten war nur ein Besipiel. Mit dem Rest hast Du mich jetzt leider völlig durcheinander gebracht :-(
Das mit dem WAN ist eine Sache, aber die LANs untereinander sollen überhaupt nicht kommunizieren können, was via Firewall auch verboten ist.
Die LANs sollen nur innerhalb ihres Subnetzes kommunizieren dürfen (wenn nicht wird das im WLAN via Client-Isolation verboten), aber Subnetz übergreifend überhaupt nicht.

Viele Grüße Sven

NOCling

Ok, mein LAN darf mit IoT, usw. sprechen, umgekehrt nicht.
Gast und Work ist hingegen vollkommen isoliert.

Wie viele Limiter brauchst oder willst du denn bauen?
Das es da eine max Anzahl gibt ist auch verständlich, denn das muss ja auch alles verwaltet werden und irgendwann platz alles vor Overhead.

Schaue doch mal in der Netgate Doku, da steht was zu Floating Regeln und Match bezüglich Limiter.
Aber bitte die ICMP Regel davor nicht vergessen, der beeinflusst zum Teil immer noch das GW Monitoring negativ unter bestimmten Lastsituationen. Zumindest auf dem WAN ausgehend ist das wichtig, da hier auch das schnellste auf das langsamste trifft, ist das verständlich.

Oder hast du eine symmetrische Leitung die mit Line Speed, also GBit, 2,5G, 10G arbeitet? In dem Fall brauchst du auf WAN vermutlich keine Limiter, da es keinen Stau gibt.

Also was hast du genau vor?
Ansonsten einfach mal mit ein paar VMs was bauen.
Oder auf einem Produktiv System mit einen paar neuen VLANs und Netzen testen, aber wenn es wegen einem falsch gesetztem Limiter klemmt, hast halt gleich ne Störung.
Im Lab oder im Heimnetz ist es da weniger kritisch, dann geht halt Netflix eine Minuten später wieder...

noplan

Du willst f jedes VLAN einen eigenen limiter machen (limiter u queue) f up & down
Es gibt aber eine Grenze v 31 limiter im System (hab ich noch nicht gefunden)

Hat wirklich jedes vlan seine eigene spez (limiter)?

Denn sonst Klemm die vlans die den gleichen limiter haben +/- 2 MBit oder si
In einen alias den dann ganze in die floating und nen limiter drauf u fertig

Wäre je spannend ob das so geht
... Dann darf meine Google Armee nur mehr mit 0, 5 MBit ins Internet hihi

Lg np

noplan

@nocling said in Limit für gesamtes Netz:

Aber bitte die ICMP Regel davor

Ich musste gestern die icmp aus machen
Weil die monitoring IP 1 hop IP nach dem Modem im Netz des Providers der brav auf icmp f monitoring antworten soll dafür gesorgt hat das das gateway permanent ein aus gespielt hat

Modem is ein 5g ZTE Ding im bridge Mode

Icmp aus und es ging...

Und weil ich die icmp rule so mag hab ich das gateway als always on geschälten (also monitoring aus)

Ging auch hihi Br np

NOCling

Warum nimmst du dann nicht was gescheites in der Wolke an Ziel, Cloudflare z.B. wenn die nicht mehr da sind, ist das Inet auch nicht mehr da...

noplan

@nocling said in Limit für gesamtes Netz:

wenn die nicht mehr da sind, ist das Inet auch nicht mehr da

ich kann dir ja nicht immer zustimmen ...

grundsätzlich lass ich immer auf den ersten hop des providers prüfen,
denn wenn ich aus diesem Netz nicht rauskomm schauts düster aus, da kann ja die restliche welt noch www haben ;) (is aber hier off topic)

ich find nix mit limitierung der anzahl der limiter ...
werd bei meinen schon schwummrig ... wenn man die nicht ordentlich benennt ...

und jetzt ja kein wort über meine waffenscheinpflichtige config

NOCling

Das Teil kann aber auch da sein, dahinter ist dann beim Provider was tot, das bekommst auf der kompletten Strecke halt gut mit.
Bin daher extra vom 1 Hop weg, denn der antwortet mir noch, wenn das Inet am Boden liegt und nix mehr auf geht, ist halt ein artiges und zuverlässiges System, das dahinter aber nicht mehr.

noplan

@lenny_hai said in Limit für gesamtes Netz:

Nun möchte ich die Bandbreite dieser VLANs begrenzen und zwar nicht wie in den meisten Anleitugen beschrieben per Host, sondern für das Netz an sich. Hat da wer einen kurzen Tipp?

1. 

Firewall / Traffic Shaper / Limiters

2)

Limititer und Q für UP & Down einrichten

3. 

Firewall Floating Rule einrichten.

ZIEL wir limitieren up & down für das ganze VLAN

4. Rule Set

QUICK = YES
INTERFACE = VLAN001
Direction = IN (Begrenzung DOWNLOAD)
Rest so wie du brauchst

Advanced:
GATEWAY = DAS GATEWAY über das das VLAN rausgeht
In / Out pipe = zuerst die UP-Q die unter 2) erstellt dann die Down-Q die unter 2) erstellt

Save and apply ---> ready 2 go

Achtung!! das regelt dir das komplette VLAN runter und auch die Kommunikation zwischen den VLAN s.

Nur der Vollständigkeit halber

have fun !

NOCling

Bei Floating gibt es extra für Limiter Match, dann darf quick aber nicht gesetzt werden.
Könnt ihr im Handbuch nachlesen.

lenny_hai

Moin,

erstmal vielen Dank für die Antworten. Ich probiere das Mal aus.
Wird aber ein wenig dauern, weil momentan kann ich an dem Ding nicht arbeiten.

Viele Grüße Sven