Traffic Shaper расписание для дефолтной очереди



  • Приветствую.
    Настраиваю PFSense 2.0.1-RELEASE (i386), разбираюсь с Traffic Shaper. Визардом настроил следующее:

    • 1 lan, 2 wan.
    • Scheduler Type - HFSC.
    • очередь P2P дефолтная, под нее выделено 10%.
    • остальные пункты в мастере не активировал, чтоб создать начальную структуру очередей, а остальное добавить самому.

    Задача: выставить для дефолтной очереди расписание, чтобы шейпер работал только в рабочее время.
    Проблема в том, что для дефолтной очереди в веб-интерфейсе в Floating Rules отсутствуют какие-либо записи (я еще не добавлял никакие правила).
    Возможно ли это сделать?

    И второй вопрос: никак не могу сообразить как сделать трафик из локальной сети до PFSense (административный трафик - ssh, icmp, https) высокоприелигированным? (потому что когда  включаю для тестов торренты, то они всё забивают и веб-интерфейс тормозит, пинги теряются и т.д. )



  • Все делается в Floating rules. И расписание и назначение потока пакетов в очереди.



  • dvserg, я через мастер задаю - весь трафик направлять в очередь для торрентов с шириной полосы в 10%. Больше ничего не настраиваю.

    В правилах пусто. Как же указать расписание для дефолтной очереди?



  • Мастером созданы только очереди. Необходимо сделать правила руками.
    Там в FAQ потрудились на эту тему - можно прочесть.



  • согласно FAQ http://forum.pfsense.org/index.php/topic,33870.0.html
    я добавил первым самое общее правило в Floating rules, в котором указал, что ВЕСЬ трафик направлять в очередь Р2Р по расписанию

    Сейчас расписание не активно, и я расчитываю, что весь трафик должен идти мимо очереди. Запускаю торренты - но скорость закачки, ровно такая же как и без этого правила. Проверяю очереди через веб-интерфейс - трафик оказывается в очереди Р2Р.
    Я пробовал перезагружать PFSense, перезагружать правила фаервола - ни какого результата. Точнее? даже http трафик попадает в очередь Р2Р…
    Попробовал посмотреть ширину канала через internet.yandex.ru - результат 10% (как у очереди Р2Р).

    Складывается ощущение, что правило для дефолтной очереди не показывается в веб-интерфейсе.
    Если я ошибаюсь, тогда в чем моя ошибка и как выключать Traffic Shaper по расписанию?



  • Опять таки, при настройке через визард, если выбраны только опции Р2Р, то не видно в Floating rules ни одного правила. Но Traffic Shaper работает и всё направляет в дефолтную очередь с ограничением.
    Если дело в дефолтной очереди, тогда как переназначать дефолтную очередь по расписанию?



  • Скриншоты очередей покажите






  • В правилах Floating Rules опция Quick деактивирована?
    Для прикрепления скриншотов есть опция Advanced Options внизу сообщения



  • Конечно. Проверил несколько правил - везде выключено.

    Спасибо за помощь.



  • А зачем интерфейс выбран в правиле? Правило общее.



  • Поправил, сейчас в течении получаса проверю.



  • @gberc:

    Поправил, сейчас в течении получаса проверю.

    Везде поправить нужно. Во всех Floating правилах.



  • dvserg,
    1. на скрине правило, которое я сам создал. Остальные правила созданы визардом и там тоже указаны интерфейсы WAN`ы (как на скрине). Во всех правилах убрать интерфейсы?
    Из твоей темы по шейперу:

    шейпинг в ALTQ производится только при выходе пакетов из роутера на выпускающем пакет интерфейсе

    Я чего-то не понимаю  ???

    2. Убрал только в первом правиле интерфейс - не помогло. Потом отвлекли меня другой работой. Завтра попробую сделать как ты сказал.



  • Убрать на всех. У меня работает так.
    Одно такое правило заливает выбранные пакеты в указанную очередь на всех интерфейсах, имеющих очередь с таким именем.



  • dvserg, извиняюсь, что долго не писал.
    Только сейчас смог добраться до стенда.
    Убрал значения интерфейсов во всех правилах - субъективно шейпер стал работать лучше (веб-странички стали открываться быстрее, чем до этого).
    Очереди выключились, а трафик торрентов все равно ограничен.

    Расписание попрежнему не работает. Трафик идет в очередь Р2Р.



  • У Вас p2p очередь дефолтная. Это значит, что если трафик не знает в какую очередь ему идти, то он лезет в дефолтную.
    В Вашем случае с p2p должна быть дефолтной.

    Для разрешения хождения торрентов в нерабочее время сделайте первым правило для назначение всего трафика на очередь qLow без Shedule.



  • dvserg, сделал как вы сказали.
    получилось такое

    в ходе тестирования  (я запускал торренты и смотрел как им выдается\обрезается скорость по расписанию. расписание: будние дни с 9-00 до 13-00 и будние дни с 14-00 до 18-00) выяснилось, что если торренты запущены до включения расписания, например в 8-50 - торренты забирают всю полосу (согласно правил). наступает время 9-00 (время на pfsense проверяю через команду date по ssh), а торренты не режутся, т.е не попадают в свою очередь qР2Р, а остаются в очереди qLow.
    Ждал 20 минут, ситуация не изменилась. Помог сброс состояний фаервола (Reset States).
    Если же расписание работает, т.е. я запускаю торренты в 17-50, то торренты как и положены в 18-00 начинают забирать всю полосу. Расписание работает корректно.

    В чем может быть проблема?



  • Проблема в том, что правила начинают действовать только на вновь создаваемые соединения. Нужно при переключении чтобы они сбрасывались.
    Сделайте тогда на 1 правило активность по нерабочему расписанию. Пусть оно работает только когда второе правило не активно.



  • Это настраивается включением опции "sloppy state" в Firewall Rules:Advanced features:State Type ?
    dvserg, киньте ссылку, пожалуйста, почитать как это сделать. мне не хватает знаний как сформулировать запрос в поиске на эту тему.

    PS можно и на английском.



  • @gberc:

    Это настраивается включением опции "sloppy state" в Firewall Rules:Advanced features:State Type ?
    dvserg, киньте ссылку, пожалуйста, почитать как это сделать. мне не хватает знаний как сформулировать запрос в поиске на эту тему.

    PS можно и на английском.

    Добавьте Shedule с нерабочим периодом и вставьте его в 1 правило.



  • сделал, получилось так:

    расписание такое на будние дни:
    0:00 - 09:00        09:00 - 13:00        13:00 - 14:00        14:00 - 18:00          18:00 - 23:59
    NO_work_time      Work_time            NO_work_time        Work_time              NO_work_time

    Лишние текущие соединения не сбрасываются из очереди qLow в очередь qP2P. Торренты продолжают занимать всю полосу. ???
    Или имелось ввиду в качестве нерабочего периода выставить, например 1 января с 1:00 до 2:00, чтоб был наверняка нерабочий период?



  • @gberc:

    сделал, получилось так:

    расписание такое на будние дни:
    0:00 - 09:00        09:00 - 13:00        13:00 - 14:00         14:00 - 18:00          18:00 - 23:59
    NO_work_time       Work_time             NO_work_time         Work_time              NO_work_time

    Лишние текущие соединения не сбрасываются из очереди qLow в очередь qP2P. Торренты продолжают занимать всю полосу. ???
    Или имелось ввиду в качестве нерабочего периода выставить, например 1 января с 1:00 до 2:00, чтоб был наверняка нерабочий период?

    Нет, имелись ввиду именно те промежутки, в которые не работает Work_time



  • Тогда я так и сделал. Расписание NO_work_time работает именно в те промежутки, в которые не работает расписание Work_time.
    В сумме они полностью закрывают 24 часа.



  • Хм, тогда нужно в аглицкий форум к отцам идти - может кто механизм Shedules лучше знает на счет сброса states.



  • спасибо за помощь.
    попробую последовать вашему совету.



  • @gberc:

    Приветствую.
    Настраиваю PFSense 2.0.1-RELEASE (i386), разбираюсь с Traffic Shaper. Визардом настроил следующее:

    • 1 lan, 2 wan.
    • Scheduler Type - HFSC.
    • очередь P2P дефолтная, под нее выделено 10%.
    • остальные пункты в мастере не активировал, чтоб создать начальную структуру очередей, а остальное добавить самому.

    Задача: выставить для дефолтной очереди расписание, чтобы шейпер работал только в рабочее время.
    Проблема в том, что для дефолтной очереди в веб-интерфейсе в Floating Rules отсутствуют какие-либо записи (я еще не добавлял никакие правила).
    Возможно ли это сделать?

    И второй вопрос: никак не могу сообразить как сделать трафик из локальной сети до PFSense (административный трафик - ssh, icmp, https) высокоприелигированным? (потому что когда  включаю для тестов торренты, то они всё забивают и веб-интерфейс тормозит, пинги теряются и т.д. )

    Может все таки лучше правильно настроить шейпер и не мучаться ?
    У меня и в рабочее время никто не урезает торренты (разрешены для "избранных", конечно) и ничего не тормозит. Просто ICMP, DNS, HTTP(S), POP3(S), SMTP(S) более высокий приоритет. Хоть и качают торренты 30 человек, серфинг и получение/отправка почты не тормозят .



  • werter, расскажи поподробнее.



  • @gberc:

    werter, расскажи поподробнее.

    А что рассказывать-то ? Визардом создаю правила шейпера, в к-ых очередь для p2p и всего "неизвестного" имеет наименьший приоритет. Наивысшая у ACK , высокая отдается для ICMP и DNS, в дефолтную - http(s), ftp и ,если надо, pop3(s), smtp(s) , а также парочка для моих специфических нужд. Главное, указать реальную (!) скорость на вход\выход - я взял 80% от заявленной провайдером. После отработки визарда поудалял (можно просто откл. ) ненужные мне правила во floating rules.

    Из поста ув. goliy (http://forum.pfsense.org/index.php/topic,41947.0.html) добавил в конфиги, зайдя через WinSCP на pf:

    вот, какие стандартные настройки я подкрутил:
    1. выставил трубкам qlimit'ы, ибо без них торренты непобедимы. Стало все чудесно, потерь больше нет, пинги отличные, життер еденичка, трубка с торрентами всегда уступает место кому угодно. Вообщем, кулимитов мне очень давно не хватало.
    2.  /boot/loader.conf
    kern.ipc.nmbclusters="32768" - позволила получить АБСОЛЮТНО ровный результат на спидтесте. скорость не скачет ни на йоту. Такого ровного графика я не видел никогда и негде. Супер!

    Остальное было сделано дабы разрулить проблему с буффером
    net.inet.tcp.syncache.bucketlimit="100"
    net.inet.tcp.tcbhashsize="4096"
    kern.ipc.nsfbufs="10240"

    3. /etc/sysctl.conf
    kern.ipc.maxsockbuf=8388608
    kern.ipc.maxsockets=204800
    net.inet.tcp.msl=15000
    kern.ipc.somaxconn=256

    Для очереди p2p ( т.е. той что не попадает ни в какие другие) выставил qlimit=2000 на вход\выход и ограничил до 90% Upperlimit для этой очереди на вх\вых. Bandwidth=0 Kbit\s на вход\выход во всех очередях (почему нуль, читаем тут http://www.probsd.net/pf/index.php/Hednod's_HFSC_explained).

    И еще, после отработки шейпера на LAN у меня не было очереди qDefault (у всех так ?) . Была другая. Я ее грохнул ,создал qDefault и назначил ее дефолтной по аналогии с WAN.

    После изменений в шейпере обязательно делать Diagnostics-Reset state-нажать Reset !








  • спасибо, обязательно попробую настроить так, но теперь уже на следующей неделе.



  • werter, напиши, пожалуйста, параметры очередей.
    я не очень не понимаю, в каких очередях у тебя стоит Bandwidth=0 Kbit\s. Или только для очереди Р2Р ?
    Тоже касается и Upperlimit …



  • @gberc:

    werter, напиши, пожалуйста, параметры очередей.
    я не очень не понимаю, в каких очередях у тебя стоит Bandwidth=0 Kbit\s. Или только для очереди Р2Р ?
    Тоже касается и Upperlimit …

    Bandwidth=0 Kbit\s - во всех очередях

    Upperlimit - только для p2p . И для аплоада и для даунлоада.






  • werte, сделал.
    Результат такой: торренты не отдают полосу трафику более приоритетному трафику.
    Привожу скрины (я запускал торренты, ждал когда они займут всю полосу и открывал веб-странички):

    мои правила

    параметры очередей:

    догадываюсь, что дело в правильном подборе параметров кривой Service Curve (sc). Но какие они должны быть ???



  • Это сделали ?

    вот, какие стандартные настройки я подкрутил:
    1. выставил трубкам qlimit'ы, ибо без них торренты непобедимы. Стало все чудесно, потерь больше нет, пинги отличные, життер еденичка, трубка с торрентами всегда уступает место кому угодно. Вообщем, кулимитов мне очень давно не хватало.
    2.  /boot/loader.conf
    kern.ipc.nmbclusters="32768" - позволила получить АБСОЛЮТНО ровный результат на спидтесте. скорость не скачет ни на йоту. Такого ровного графика я не видел никогда и негде. Супер!

    Остальное было сделано дабы разрулить проблему с буффером
    net.inet.tcp.syncache.bucketlimit="100"
    net.inet.tcp.tcbhashsize="4096"
    kern.ipc.nsfbufs="10240"

    3. /etc/sysctl.conf
    kern.ipc.maxsockbuf=8388608
    kern.ipc.maxsockets=204800
    net.inet.tcp.msl=15000
    kern.ipc.somaxconn=256

    Далее, почему у Вас ДВА WAN?! Моя схема для одного LAN и ОДНОГО WAN.



  • каюсь, именно это не сделал. сейчас исправлюсь.
    Параметры очередей правильные?

    Далее, почему у Вас ДВА WAN?! Моя схема для одного LAN и ОДНОГО WAN.

    Да, у меня два провайдера интернета. Не думал, что с этим сложности должны быть.



  • @gberc:

    каюсь, именно это не сделал. сейчас исправлюсь.
    Параметры очередей правильные?

    Далее, почему у Вас ДВА WAN?! Моя схема для одного LAN и ОДНОГО WAN.

    Да, у меня два провайдера интернета. Не думал, что с этим сложности должны быть.

    Bandwidth=0 Kbit\s, не процентов.
    Приехали… Ну так и скорость разная небось? И каналов входящих (DOWNLOAD) тоже ДВА , а не один (qInternet на LAN)

    Нажимаем Remove Shaper и по-новой. Только теперь выбираем на первых шагах правильное кол-во вход. и исх. каналов (самый нижний , что там multi ,каж-ся). И пишем РЕАЛЬНУЮ скорость, РЕАЛЬНУЮ. Нечего пров-ра "перехваливать"  :D



  • Bandwidth=0 Kbit\s, не процентов.
    Приехали… Ну так и скорость разная небось? И каналов входящих (DOWNLOAD) тоже ДВА , а не один (qInternet на LAN)

    каналов сразу делал 2 (мульти ВАН) на 1 ЛАН.
    скорость одинаковая у провайдеров, выставил 90% в шейпере.
    поправил настройки в конфигурационных файлах и

    Bandwidth=0 Kbit\s, не процентов.

    сейчас проверяю



  • Вообщем та же самая картина. На скрине график загрузки торрентов:

    • точка 1 соответсвует моменту, когда появился http-трафик.
    • точка 2 - я отключил торренты.

      Торренты просаживаются, но самую малость..


  • @gberc:

    Bandwidth=0 Kbit\s, не процентов.
    Приехали… Ну так и скорость разная небось? И каналов входящих (DOWNLOAD) тоже ДВА , а не один (qInternet на LAN)

    каналов сразу делал 2 (мульти ВАН) на 1 ЛАН.
    скорость одинаковая у провайдеров, выставил 90% в шейпере.
    поправил настройки в конфигурационных файлах и

    Bandwidth=0 Kbit\s, не процентов.

    сейчас проверяю

    Я бы все таки сделал по ДВА на вх\вых . Два прова - 4 канала (суммарно).

    З.ы. У вас они в failover или в load balance или одновременно и то и другое?



  • каналы объединены в группу гейтов с одинаковым приоритетом tier 1.
    а в визарде шейпера я пользовался мастером multi wan single lan, и количество каналов указывал 2 с одинаковой скоростью.
    я не очень понимаю, что значит

    по ДВА на вх\вых . Два прова - 4 канала (суммарно).


Log in to reply