настройка PFsense, 2 wan, балансировка, приоретет. И ещ&#

WY6EPT

Так, походу нет.
У меня правило для каждой подсети фром сабнет то эни
Я пока до файром разбираюсь, как мне все правила прописать не через жопу :)
Можешь пояснить или картинку скинуть как это должно прописываться и на каком интерфейсе? Я чего то пока недопонимаю как это тут работает.
Маны курю

netormoz

http://macrodmin.blogspot.ru/2012/02/multiwan-pfsense.html

WY6EPT

Спасибо )) про этот пунктик я как то и забыл

pigbrother

@WY6EPT:

Вот в том то и проблема. Тир первого канала равен тир второго канала.
Но при этом первый канал стабильно загружен на 30-40 мегабит, а на втором канале 150 килобит и то обратного тср трафика.
При этом я даже убрал галки дефолт гейтвэй с обоих интерфейсов.
Непонимаю.

А если указать Weigt каждого шлюза?

2 WAN. Оба включены в группу с Tier=1
В
System: Gateways: Edit gateway-Advanced
Попробуйте указать Weight  для каждого шлюза, чтобы  задать соотношение пропускных способностей.
У меня задано соотношение 1:3, и оно  прекрасно отрабатывается.
http://doc.pfsense.org/index.php/Multi-WAN_2.0#Weight

WY6EPT

Каналы то у меня с одинаковой пропускной способностью :)
Нетормоз ссылочку кинул, я по картинкам понял, что я в правилах шлюз не выставлял групповой, потому и работало все через один канал :)
Сейчас все прекрасно работает.

Вопрос на засыпку шифрование канала впн сильно проц грузит?

netormoz

Pigbrother правильно добавил, я про weight совсем не упомянул. Теперь подправил выше. Для VPN дели частоту процессора  одного ядра на 40-45, чтобы получить максимальную скорость внутри VPN.  Скажем двухядерный проц на 3 ГГц уже может сделать VPN на 130-150 Мб/c.

Song

Доброго времени суток. Провайдер перешел с PPPOE на статик ИП, подскажите как сент настроить на статик ИП?
Есть ип
Маска 255.255.255.224
есть шлюз

Прикрепил скрин, правильно все вбил?


dvserg

Маска /32 не есть 255.255.255.224
Поищите в инете калькуляторы

Song

/27 это и будет 255.255.255.224?

Song

Все заработало. Спасибо. Подскажите, у сенса есть какие ни буть ограничения по количеству адресов а алисе для правила с лимитером?
По какой то причине не догружается канал, нет скорости на клиентских машинах. Проверку делаю на спидтесте с машине без ограничений по скорости, по графику в сенсе, не догружается 1-2 Мбит. Когда отключаю правила с лиметерами для простых смертных машин и делаю так же проверку со свей, то канал по графику сенса загружается полностью при спидтесте.
И еще вопрос, может ли быть косяк в сетевухе? Все правила установлены на LAN(Dlink сетевая). Правила шейпера по приоритезации трафика на Floating. Сетевая WAN интеловская, есть ли смысл поменять сетевые местами?

Song

+в догонку. Бывает такое, особенно по вечерам. Спидтест показывает нормальную скорость(какая и должна быть) на клиентской машине, но при этом онлайн видео грузится со скрипом, да и веб серфинг не такой резвый как днем. При этом канал загружен на 50%-70%!
Куда копать?

aleksvolgin

Спидтест показывает нормальную скорость(какая и должна быть) на клиентской машине, но при этом онлайн видео грузится со скрипом, да и веб серфинг не такой резвый как днем

Я поставил кеш сервер, который клиенту, если у него 50, выдает 100.

:D

Song

Не не то. Клиенту отмеряю лиметером мегабит, на спидтесте у него все нормально, показывается мегабит, но на этом мегабите при загрузке онлайн видео, явно видно что нет там мегабита, потому что практически вообще не прогружается видяхя.

Сейчас всплыл еще косяк: DHCP раздает серые IP с привязкой к маку. Интернет раздается по IP. Очень удобно для клиентов, вставил кабель и погнал. В DHCP server установлена всегда Deny unknown clients.
Сегодня поставил галочку на Enable Static ARP entries и сразу же отвалились три машины… Выключил Enable Static ARP entries интернет у них появился.
Почему? Может ли это быть из за ввода настроек сети вручную на клиентской машине?

werter

Почему? Может ли это быть из за ввода настроек сети вручную на клиентской машине?

Может.

Song

Причины:

1. Ввод ручных настроек на клиентской машине.
2. Привязка двух MACов к одному IP.

В общем чудесная вещь :) Свою функцию выполняет, и пропала необходимость перехода на PPPoE  ;D

С недогрузкой канала решилось так - отключил 38 правил фаервола на закладке
Floating отвечающие за приоритезацию различного трафика, оставил только самые необходимые(с моей точки зрения все нужны были, добавлялись вручную) в количестве 14 штук,  приоретизирующие трафик на WOT и всякие HTTP, HTTPS и DNS запросы.

Song

Все же периодически всплывет проблема с недогрузкой внешнего канала. При этом не хватает скорости на всех клиентов. При отключении правил с лиметерами  канал грузится на 100%, значит проблема не со стороны аплинка.
  В чем может быть проблема?
    Для правила фаерола, содержащего лимитер(например один мегабит) есть ограничение по количеству IP адресов в алисе? Или количество IP адресов на один лимитер?
  Уже не знаю куда еще копать, загрузка процессора 20-50%, иногда на пару секунд прыгает до 100%. Загрузка ОЗУ 30-50%. В сети 50 машин.

werter

На чем "трудится" пф (в смысле железо)?

Song

На писюке Celeron 1,7Ггц, 3 планки озу по 128Мб.

werter

Берите недорогой 2-ух ядерник, 1-2Гб ОЗУ, сетевые желательно Интел. Все это можно б\у, ес-но. Ваше железо как бы "захлебывается".

Song

Есть HP Proliant DL360G4 2x3.4Ггц Xeon, 4x1024 ddr. 4 сетевых интел. два блока питания по460 ват. Имеет ли смысл использовать его для этих целей, имеется в виду энергопотребление, или лучше уже микротиковский аппаратный роутер купить?