PfSense - für meine Zwecke das richtige? Bitte lesen :)



  • Hallo Zusammen,

    habe folgenden Sachverhalt:

    • Wohnhaus mit diversen WGs
    • Insgesamt gibt es 5 Stockwerke mit jeweils 3 - 6 Zimmern
    • Insgesamt rund 30 Netzwerkanschlüsse

    Ich möchte nun eine Soft/Hardware, welche mir meinen Traffic handelt, d.h. wenn sich jemand etwas runterladen will soll er das ruhig tun, möchte aber nicht das die anderen 29 Mitbewohner darunter leiden und dann nichts mehr machen können.

    Meine Anforderungen also:

    • Max Down/Upload der maximalen Bandbreite bei etwa 60% abschalten (d.h. es wird eine 100mbit Leitung KabelBW geben, realistisch gesehen kommen hier etwa 60 - 80mbit an) möchte somit, dass man mit max 40mbit downloaden kann und evtl max 2,5mbit uploaden kann
    • kann man dies irgendwie regulieren? brauch ich hier pro Stock 1 Lan Anschluss, welcher dann wiederum an einen Switch für die jeweiligen Zimmer fungiert?

    Danke und Gruß



  • Hi,

    sollte Grundsätzlich gehen. Ich würde das allerdings stärker begrenzen. Die Wahrscheinlichkeit das bei 30 Usern mehr als einer größere Mengen lädt ist schon vorhanden.
    Würde da eher so auf 10% gehen. Um einem Switch bzw. Switches wirst du aber nicht herumkommen  außer du hast einen Rechner mit mehr als 30 Netzwerkanschlüssen ;) Wenn du den Zugriff untereinander verhindern willst sollte es ein VLAN taugliches Modell sein.

    Unter http://www.youtube.com/watch?v=Usi195rK35I ist die Einstellung anschaulich erklärt.



  • Hallo!

    Also für den Fall, daß die Downloads über Web (HTTP) stattfinden, kannst Du ja Squid als transparenten Proxy verwenden und dort die Delay Pools so konfigurieren, daß jeder Host nur max. 60% der Bandbreite beanspruchen kann. Findest Du bei pfSense unter Services -> Proxy Server -> Traffic Management. Anleitung zu Delay Pools gibt es hier.

    Alle anderen Protokolle kann evtl. der Traffic-Shaper. Aber damit wie sich das hostbasiert lösen läßt, habe ich mich auch noch nicht befaßt.

    Switche wirst Du ohnehin brauchen. Die Idee mit Etagenverteilern zu arbeiten ist ein übliches Vorgehen. Für mich klingt das so, als würde nachverkabelt werden und es existiert noch keine Netz-Infrastruktur, die genutzt werden kann. Ja nach nötigen Kabellängen reicht u.U. auch nur jeden 2. Stock ein Switch als Verteiler.



  • @stack:

    Unter http://www.youtube.com/watch?v=Usi195rK35I ist die Einstellung anschaulich erklärt.

    Die Anleitung ist gut. Aber ich frage mich wie genau das bei 30 Rechnern zu realisieren ist und denke es gibt sicherlich einige Stolpersteine. Denn das Bandbreitenlimit wird auf die Regel TCP/UDP any angewendet. Füge ich (versehentlich) z.B. ein ICMP any irgendwo ein, dann kann ich Ping-Floods mit voller Bandbreite machen, außer ich setze auch hier wieder die Limits in der Regel. Warum nicht als Protokoll dann gleich any nehmen mit allow und alle spezifischen Protokoll-Blocks davor setzen?

    Und des weiteren müßte ich 30 Regeln mit entsprechenden Source-IPs machen, damit das Limit pro IP gilt, dann wenn ich als Source any nehme, dann gelten wohl für alle Rechner zusammen maximal 30% Bandbreite und 70% wären verschenkt. Und wie beschrieben, das IP-MAC-Binding müßte statisch sein, was aber niemand hindert statisch eine IP zu nehmen, die anders als die 30 limitierten ist und schon zieht er Full-Speed.

    Wäre es nicht cleverer im Limiter, die vorhandene Option 'Mask' zu wählen, dort Source-Adress zu selektieren und dann eine TCP/UDP any Regel mit den Limitern zu erstellen und any als Source-Adresse? Ich denke dann würde ohne das man 30 Regeln erstellen muß eine Bandbreitenregulierung pro Source-Host umgesetzt werden. Oder habe ich das falsch verstanden:

    If 'source' or 'destination' is chosen, a dynamic pipe with the bandwidth, delay, packet loss and queue size given above will be created for each source/destination IP address encountered, respectively. This makes it possible to easily specify bandwidth limits per host.



  • danke erstmal für eure Antworten.

    eine Netzwerkinfrastruktur gibt es schon, es gibt ein Patch Panel, von diesem Panel aus gehen jeweils 1 Kabel in 1 Stockwerk und wird dort mit einem Switch weiter verteilt an die Zimmer..

    Die Idee einen Proxy zu nutzen finde ich eigentlich auch gut, evtl sogar mit einem User / PW pro Person. Da ja auch illegale Handlungen getrackt werden sollten :)

    Ist sowas hier dafür in Ordnung? http://www.hacom.net/catalog/phoenix-it-100-pfsense-appliance



  • Hi,

    Cleartext 70 Mbps ist schon eine Begrenzung und gerade wenn du noch den Squid nutzen willst, würde ich lieber etwas in der Klasse nehmen:

    http://www.thomas-krenn.com/de/produkte/server-systeme/rack-server/1he-server/intel-atom/intel-atom-d510-cse502.html

    ggf. noch eine zusätzlich Netzwerkekarte.



  • Ich denke auch, daß die Phoenix-it-100 zu klein ist. Steht ja auch oben 5-20 User. Außerdem scheint es noch pfSense 1.2.3 zu sein. Zumindest ist es das Handbuch. So schwer ist es nicht pfSense selbst aufzusetzen.

    Aber Du mußt auch drauf achten, wo letztlich die Firewall stehen soll. In einem dedizierten Datenraum (ggf. dort wo Patchpanel steht) stört Krach weniger, als wenn es irgendwo in Wohnung oder Zimmer ist. Wer zahlt die Stromkosten? Evtl. auch auf den Energieverbrauch achten und wenn Du einen Squid verwenden willst, dann bietet es sich ja an ihn nicht nur zur Authentifizierung und Bandbreitenbegrenzung zu verwenden, sondern auch als Cache. Da sollten dann schnelle, große Platten im RAID-1 drinn sein. Nach diesen Anforderungen wird sich die Hardware richten. Eine lüfterlose Highend-Maschine mit niedrigem Energieverbrauch gibt es leider nicht.  :)



  • danke euch, der kleine Server sieht ziemlich gut aus, muss nur wegen dem Platz schauen.. bezahlen tut das natürlich alles der Vermieter, aber es sollte nicht allzu teuer werden.. habe was zusammengestellt für 22€ Leasing im Monat denke das wird er grad noch abdrücken können :)


Log in to reply