PFsense als QOS Router zwischen Subnetzen



  • Hallo,

    ich habe eine Frage zu PFsense. Ich würde es gerne als QOS Router für unsere Subnetze verwenden. Wir haben folgende Konstellation:

    3 Standorte (jeweils ein Subnetz)

    Standort 1  <>  Haupthaus  <>  Standort 2
    Subnetz:            192.168.1.0/24  192.168.2.0/24  192.168.3.0/24
    Router:              192.168.1.250    192.168.2.250    192.168.3.250
    Netzwerkkarten:  2                      3                    2

    An jedem Standort soll ein PFsense Router in das jeweilig andere Subnetz routen. Die Router der Standorte 1 und 2 sind jeweils mit dem Router im Haupthaus über eine 5 Mbit/s Ethernet Strecke verbunden und sollen über den Hauptrouter kommunizieren. Jeder Rechner in jedem Subnetz soll jeden anderen Rechner in allen Subnetzen erreichen können. Wir haben an jedem Standort eine Siemens Telefonanlage deren Sprache Priorisiert werden soll.

    Ist das mit PFsense zu realisieren, wenn ja wie?

    Über Hinweise wäre ich sehr dankbar!

    Gruß Horst.



  • Hört sich schon machbar an. Eine Frage noch … da ist aber keine IPSec im Spiel ... also einfach nur routen? Dann kannst Du das über den Traffic shaper erreichen (wohl auch mit IPSec, da sind mir aber etliche Dinge unklar). Es ist schwer den shaper so mal schnell eben zu erklären. Da wirst Du Dich durch einige Postings hier im Forum durchwühlen müssen. Fang auf jeden Fall mal mit dem Wizard an und probier erst mal damit rum, bevor Du anfängst alles "from scratch" aufbauen zu wollen.

    Desweiteren solltest Du Dir das durchlesen:

    http://doc.pfsense.org/index.php/Traffic_Shaping_Guide

    Vielleicht reicht für Dich auch PRIQ, statt HFSC als scheduler. Ist einfacher zu begreifen, priorisiert aber nur. Hier noch was zum Thema:

    http://forum.pfsense.org/index.php?topic=12601.0

    Ich habe auf jeden Fall noch keine halbwegs umfassende und gleichzeitig einfach zu verstehende Lektüre zum Thema gefunden - schon gar nicht in deutsch. Da musst Du Dich erst ein wenig reinwursteln. Soll nicht heissen, das es so was nicht geben könnte ...



  • Hallo EmL,

    vielen Dank für deine Antwort! Das mit dem Traffic - Shaping kriege ich noch hin, aber wie setzt man bei PFsense das Routing um? VPN ist auf jeden Fall nicht im Spiel - ich brauche nur Routen. Ich würde quasi das lokale Netz als LAN konfigurieren und die anderen Router als WAN Schnittstellen? Mit einer Firewall-Regel, dass jedlicher eingehender Verkehr ins LAN darf, habe ich dann versucht die Subnetze untereinander erreichbar zu machen. Das funktioniert aber einscheinend nur teilweise. Kann ich bei PFsense 2.0 die ganze Firewall deaktivieren?

    Gruß Horst.



  • Ich würde im Menü: System / Routing / Routes angreifen. Die Regeln erlauben oder verbieten nur die Pakete. Die Routen aber geben an, wohin die Pakete sollen.



  • Hallo EmL,

    vielen Dank. Das Routing hat schon problemlos funktioniert (hatte ich vergessen zu erwähnen). Leider hat die Firewall jedoch von manchen Clients einfach Packete verworfen, obwohl ich eine allow Regel von any nach any erstellt hatte. Ich habe aber nun endlich gefunden, wo man die Firewall deaktivieren kann (Unter System / Advanced kann die Firewall inklusive NAT komplett deaktiviert werden, sodass PFsense im routing-only Modus arbeitet). Das scheint jetzt alles zu funktionieren. Mit dem Traffic - Shaper Wizzard habe ich meine QOS Regeln für VOIP erstellt (als Shaper verwende ich HFSC - das soll ja für VOIP das beste sein?). Das scheint auch soweit zu funktionieren (gibt es hier eigentlich ein Tool, womit ich das QOS testen kann?). Jetzt habe ich noch eine letzte Frage: Die Clients ziehen sich über die Leitung auch Virenscanner Signaturen und Windows Updates. Kann ich bei PFsense auch noch benutzerdefinierte Regeln erstellen, mit denen ich das drosseln kann? Ich weiß ja die IP-Adresse des Servers und die Ports die dafür verwendet werden.

    Gruß Horst



  • Hallo,

    ich hab´s. Es funktioniert bestens! Besten Dank! PFsense rockt  ;D

    Gruß Horst



  • Hallo,

    ich habe hier noch ein Problem! Ich habe die Pfsense an allen 3 Standorten als Router installiert. NAT habe ich unter Unter System / Advanced deaktiviert. Router 1 ist im Subnetz 192.168.1.0/24 und hat dort die IP 192.168.1.250. Der Router 2 steht im Subnetz 192.168.2.0/24 und hat dort die IP 192.168.2.250. Die zweite LAN-Karte des Router 1 (IP 192.168.200.10/24 - als WAN konfiguriert) ist über eine Ethernet Connect mit der zweiten LAN - Karte des Router 2 (192.168.200.20/24 - als WAN konfiguriert) verbunden. Die Routen in das jeweils andere Subnetz habe ich auf beiden Pfsensen hinterlegt. Das witzige ist: manche Rechner hinter den Routern können problemlos pingen und erreicht werden, andere wiederum nicht! Wie kann das sein???? Habe ich hier eventuell irgendetwas vergessen?

    Über eine Info wäre ich sehr dankbar!

    Gruß Horst!



  • hi,

    wieso kommt das Netz 192.168.200.10/24 zusätzlich ins Spiel?

    
    Standort 1: LAN1=>192.168.1.250
                LAN2=>192.168.2.251
    
    Haupthaus: LAN1=>192.168.2.250
    
    Standort 2: LAN1=>192.168.3.250
                LAN2=>192.168.2.252
    
    

    Standort X bekommt jeweils eine statitische Route zum anderen Standort.



  • Hallo Shine,

    vielen Dank für deine Antwort! Ich hatte für die Übertragung der Daten ein eigenenes Subnetz gebildet:

    Standort 1:                                              Haupthaus:

    192.168.1.250 / 192.168.200.10 <–--------> 192.168.200.20 / 192.168.2.250

    Ich habe Router 1 gesagt, dass er in das Subnetz 192.168.2.0 über die 192.168.200.20 gehen muss, und dem im Haupthaus habe ich die Route nach 192.168.1.0 über die 192.168.200.10 gegeben. Kann hier eventuell das Problem liegen? (Bisher haben wir Zeroshell im Einsatz, da hat es so funktioniert). Soll ich es lieber so konfigurieren, wie von die beschrieben???

    Gruß Horst



  • Hi,

    das Subnetz braucht man nicht; sehe aber auch kein direktes Problem damit. Ich würde es aber vermeiden.

    Du kannst es so einrichten

    
    Standort 1: LAN1=>192.168.1.250
                LAN2=>192.168.2.251
    
    Haupthaus: LAN1=>192.168.2.250
    
    Standort 2: LAN1=>192.168.3.250
                LAN2=>192.168.2.252
    
    

    oder auch so

    
    Standort 1: LAN1=>192.168.1.250
    
    Haupthaus: LAN1=>192.168.2.250
                LAN2=>192.168.1.251
                LAN3=>192.168.3.251
    
    Standort 2: LAN1=>192.168.3.250
    
    


  • Hi,

    aber zurück zu deinem Problem.

    Das witzige ist: manche Rechner hinter den Routern können problemlos pingen und erreicht werden, andere wiederum nicht!

    Ist auf jedem Rechner (nicht pfSense) der jeweilige pfSense Rechner als Standardgateway eingerichtet, oder arbeitest du mit statischen Routen?
    Hast du mit traceroute/tracert einen Test gemacht, um zu sehen wo die Pakete langlaufen .. und du kannst auf den pfSense unter "Diagnostics" die ICMP (Ping) Pakete sniffen .. dann sollte man erkennen wo das Paket verloren geht.



  • Hallo Shine,

    vielen Dank für deine Hilfe! Ich habe auf allen PCs den jeweiligen PFsense Router als Gateway hinterlegt. Manche können jedoch pingen andere wiederum nicht. Ich werde es mal mit deinem Vorschlag probieren, das Routing Subnetz weg zu lassen! Und unter welchen Punkt unter Diagnostics kann ich die ICMP Paket sniffen?

    PS:

    Oder könnte es an dem Traffic Shaping liegen? Ich will, quasi Sprache auf der Leitung (5 Mbit/s) priorisieren. Die Sprache soll quasi mindestens 1 Mbit/s garantiert bekommen und die Default Daten auch 1 Mbit/s. Ich habe mit dem Wizziard die Shaping Regeln erstellt. Könntest du mal drüber schauen, ob die Ques so OK sind, oder ob da noch was angepasst werden muss.

    Anbei habe ich die Konfiguration der Ques und der Firewall angehängt. Ist das OK so?

    Vielen Dank schonmal!

    Gruß Horst






  • Teil 2






  • Teil 3




  • Teil 4



Locked