не работает traffic shaper (через pptp) [РЕШЕНО]



  • Уважемые господа!

    Имеем сетку (на данный момент 30 юзеров). Интерфейсы ЛАН на rl0, ВАН на VLAN на re0, OPT1 на re0.
    Инет работает, локалка прова есть. Фаервол со стандартными правилами(на интерфейсе ЛАН все разрешено, на двух других - пусто).

    Создаю правила по визарду шейпера в любых сочетаниях внутренних и внешних интерфейсов - работает только пинг(интернет по всем портам пропадает). Уже не один день провел за поиском проблемы и вариаций в настройках - результат  одинаков.

    Подскажите что может быть не так?
    И какие еще данные предоставить для диагностики?
    pfsense 1.2.3-RELEASE



  • Неужели никаких вариантов?

    Думаю, проблема в НАТе, но не могу понять как его настроить, и почему настройки работают по-другому, когда включается шейпер.
    сейчас Advanced Outbound NAT настроен одним правилом Auto created rule for LAN (при Automatic outbound NAT rule generation - то же самое), без  шейпера все хорошо работает, а при включения шейпера - остаются только пинги до сайтов, но днс имена уже не определяются и не перебрасываются порты - fetch http://213.180.204.3:80, к примеру, уже не работает (Operation not permitted)



  • Я ни разу не слышал, чтобы шэйпер вообще убивал трафик, была проблема, что он просто с pptp/pppoe просто не работал, т.е. не урезал, но чтобы совсем всё пропадало - что-то тут не в шэйпере дело.
    Информация нужна обычная. Включаешь шэйпер и```
    ifconfig
    netstat -rn

    Далее можно попробовать с самого pfSense - работает ли инет
    

    ping google.com
    telnet google.com 23

    Имя резолвится на IP?
    Telnet открывается?
    Если работает, то же самое с компа подключенного к LAN.
    между прочим
    
    > ВАН на VLAN на re0, OPT1 на re0
    
    - не очень хорошая идея.


  • @Evgeny:

    Я ни разу не слышал, чтобы шэйпер вообще убивал трафик, была проблема, что он просто с pptp/pppoe просто не работал, т.е. не урезал, но чтобы совсем всё пропадало - что-то тут не в шэйпере дело.

    я же сказал, с шейпером проходит только пинг. И с гэтэвэя, и с клиентских.

    Информация нужна обычная.

    в скриншотах.

    Далее можно попробовать с самого pfSense - работает ли инет

    ping google.com
    telnet google.com 23
    

    Имя резолвится на IP?
    Telnet открывается?
    Если работает, то же самое с компа подключенного к LAN.

    При включенном шейпере, как я уже писал, работают только пинги до IP-адресов. Имена не ресолвятся, fetch к яндексу на 80 порт не работает, и к фтп не коннектится. Так же и на клиентских

    между прочим

    ВАН на VLAN на re0, OPT1 на re0

    • не очень хорошая идея.

    Посоветуете другой лучше работающий вариант? Я рассматриваю полезные предложения.








  • Почему re0 и vlan0 имеют один и тот же IP? это в корне неправильно.



  • @Evgeny:

    Почему re0 и vlan0 имеют один и тот же IP? это в корне неправильно.

    Громко звучит, но это единственный кошерный способ из веб-интерфейса настроить соединение vpn(настколько ясно из мануалов)

    (Повторяю, все прекрасно работает, интернет раздаётся, вот только с шейпингом проблемы.)

    что имеем - на скриншоте.
    лан - внутренняя сеть
    ван - соединение пптп
    опт1 - соединение с сетью провайдера




  • Способ - кривой как сабля. Извини, здесь я не смогу помочь.



  • @Evgeny:

    Способ - кривой как сабля. Извини, здесь я не смогу помочь.

    Я же прошу о помощи и консультации - можете просвятить о более правильном способе?



  • @goliy:

    @Evgeny:

    Способ - кривой как сабля. Извини, здесь я не смогу помочь.

    Я же прошу о помощи и консультации - можете просвятить о более правильном способе?

    Не всегда можно оказать помощь/консультацию, поверь… -(
    Про кривой я может погорячился, обратись к людям, которые его придумали. В принципе рабочий вариант, но человек, реализующий этот метод, должен очень хорошо понимать, что он делает.
    Вот так на мой взгляд правильнее будет http://ru.doc.pfsense.org/index.php/PPPoE_%D0%B8%D0%BB%D0%B8_PPTP_%D0%BD%D0%B0_WAN_c_DHCP



  • @Evgeny:

    Вот так на мой взгляд правильнее будет http://ru.doc.pfsense.org/index.php/PPPoE_%D0%B8%D0%BB%D0%B8_PPTP_%D0%BD%D0%B0_WAN_c_DHCP

    К сожалению, данный способ не работает. Имена ресолвятся(но это отрабатывают локальные днс'ки провайдера), т.е.локальная сеть на ВАНЕ поднимается, а вот с пптп что-то странное, ип-выдаётся, и в состоянии интерфейсов пишет чтоинтерфейс up, но пинга как на сервере, так и на клиентских такчках нет






  • Можно подключиться глянуть?



  • Произошли небольшие изменения. Теперь нет Влана. Вот что имеем при попытке запуска визарда шейпинга
    Either your LAN or WAN interface doesn't support ALTQ. The wizard cannot continue.








  • Ну как бы в итоге - проблема решена.
    Без влана по схеме, указанной выше и подсказанной Evgeny несколькими постами выше и несколько измененной(пптп на ВАНе, а не на ОПТ1) интернет и трафик шейпер работают. Не работает только визард. Но мы же может его обмануть -) Переназначаем интерфейсы(удаляем опт1) делаем ВАН на одну сетевуху, а ЛАН на другую. Создаём правила визардом. Потом снова переназначаем интерфейсы так, как они должны быть, создаём ОПТ1(который удаляли) и инет работает и визард уже сделал свою работу.

    Костыльно, с доп.софтварными модификациями и плясками с визардом я добился того, чего хотел(а казалось элементарного - шейпинга трафика)



  • С шейпингом никогда не баловался, но вот, что ты получил pptp на отдельном интерфейсе - это радует. Спасибо за помощь в тестировании.


Log in to reply