настройка PFsense, 2 wan, балансировка, приоретет. И ещ&#



  • @dvserg:

    @Song:

    зы по умолчанию, если шейпер не настроен, вся доступная скорость распределяется равномерно между всеми пользователями?

    Нет, скорость распределяется кому-сколько-достанется, в каждый момент времени по-разному. Аналогия с неорганизованной толпой, старающейся пройти в узкие ворота.

    А как бы так сделать(как на микротике), что бы все поровну доставалось. Т.е. если две машины активные, то по половине от ширины аплинка, а если 10, то по 1/10 ширины. Было бы здорово замутить динамический шейпер.



  • @Song:

    @dvserg:

    @Song:

    зы по умолчанию, если шейпер не настроен, вся доступная скорость распределяется равномерно между всеми пользователями?

    Нет, скорость распределяется кому-сколько-достанется, в каждый момент времени по-разному. Аналогия с неорганизованной толпой, старающейся пройти в узкие ворота.

    А как бы так сделать(как на микротике), что бы все поровну доставалось. Т.е. если две машины активные, то по половине от ширины аплинка, а если 10, то по 1/10 ширины. Было бы здорово замутить динамический шейпер.

    Это лимитером можно сделать в разделе Шейпера. Поищите - совсем недавно обсуждение было.



  • @Song:

    да да да )))) а настроил шейпер)) торенты нервно курят в стороне при веб серфе и запуске онлайн видео-аудио))) Всем спасибо за внимание)))

    А можно скриншот настроек лиметера, который используется в Layer7?



  • @pigbrother:

    @Song:

    да да да )))) а настроил шейпер)) торенты нервно курят в стороне при веб серфе и запуске онлайн видео-аудио))) Всем спасибо за внимание)))

    А можно скриншот настроек лиметера, который используется в Layer7?








  • У меня, почему то после создания очередей шейпера, перестали работать правила с лимитером. Почему?



  • Спасибо.
    1MbitOUT - где задается\настраивается?



  • @pigbrother:

    Спасибо.
    1MbitOUT - где задается\настраивается?

    В лимитере, IN/OUT это я называл для удобства восприятия. Дело в том что один лимитер нельзя поставить а на вход и на выход, поэтому в правилах где ограничение входящей и исходящей одинаковое, приходится два лиметера одинаковых делать с разными названиями. НО, почему то, правила с лимитерами перестали работать посте создания очередей шейпера по приоритетам трафика. НЕ МОГУ ПОНЯТЬ ПОЧЕМУ.



  • какой трафик попадает в очередь под названием  qLink?



  • правила с лимитерами перестали работать посте создания очередей шейпера по приоритетам трафика. НЕ МОГУ ПОНЯТЬ ПОЧЕМУ. Может быть кто нибуть знает?



  • @dvserg:

    @Song:

    @dvserg:

    @Song:

    зы по умолчанию, если шейпер не настроен, вся доступная скорость распределяется равномерно между всеми пользователями?

    Нет, скорость распределяется кому-сколько-достанется, в каждый момент времени по-разному. Аналогия с неорганизованной толпой, старающейся пройти в узкие ворота.

    А как бы так сделать(как на микротике), что бы все поровну доставалось. Т.е. если две машины активные, то по половине от ширины аплинка, а если 10, то по 1/10 ширины. Было бы здорово замутить динамический шейпер.

    Это лимитером можно сделать в разделе Шейпера. Поищите - совсем недавно обсуждение было.

    Из найденного на форуме, я сделал вывод, для того что бы реализовать динамическое распределение полосы пропускания, необходимо в правиле с лиметером указать адреса всех машин или подсеть, тогда скорость будет делится равномерно между активными.
    Правильно я понял?



  • по графикам кто ни буть что ни буть скажет? почему пинг так скаканул? максимальная загрузка проца 3%, оперативки 40%, диска 1%. канал 4Мбита.






  • РЕБЯТА хелп ми срочно!!! Уже неделю наблюдаю следующую картину, недогружается внешний канал, после RESET STATES, становится все ОК на день. Проверяю один раз в день вечером с 6 до 9. Один раз заметил что State table size = 11000(или 12000, точно не помню) из 22000. Как лечить? нид хэлп ми плиз!!

    ps по предположению, проблема появилась после создания очередей шейпера и правил с лимитером.



  • Попробуйте увеличить макс количество стейтс и уменьшить их время жизни.



  • ок. Где это делается?) и на сколько увеличивать кол. стейтс и уменьшать время?



  • Каким образом в PFsense можно обойти правила фаервола?
    Ситуация такая, один компьютер игнорирует лимитер, грузит канал на полную, мало того, добавление его в запрещающее правило тоже игнорирует… Временно решил проблему, удалением это компьютера из DHCP сервера с установленной галочкой не пускать неизвестных.
    Что это за фигня?



  • @Song:

    Каким образом в PFsense можно обойти правила фаервола?
    Ситуация такая, один компьютер игнорирует лимитер, грузит канал на полную, мало того, добавление его в запрещающее правило тоже игнорирует… Временно решил проблему, удалением это компьютера из DHCP сервера с установленной галочкой не пускать неизвестных.
    Что это за фигня?

    Включите логирование и ищите правило.



  • Если установлен CP, то особо умные могут поднимать ppp сессии, которые не будут логироваться.
    Кстати, в правилах Protocol any подразумевает только протоколы L3 ?



  • Судя по всему да, L3.
    Я знаю пользователя этого компьютера, есть сомнения в хакерских способностях 16 летней ТП… Еще заметил, давненько уже, что на IP это компьютера не проходит команда пинг, хотя машина онлайн и сидит в интернете. Может это как связано?



  • @Song:

    Судя по всему да, L3.
    Я знаю пользователя этого компьютера, есть сомнения в хакерских способностях 16 летней ТП… Еще заметил, давненько уже, что на IP это компьютера не проходит команда пинг, хотя машина онлайн и сидит в интернете. Может это как связано?

    Ну так пользовательские фаерволлы еще никто не отменял. Включая и стандартный. Вот они ICMP и блочат.



  • Я всегда при подключении машины к локалке, вырубаю фаерволы. Хотя может и сама включила хз…



  • Ребят, помогите хоть с этим разобраться. В правилах фаервола указываются очереди шейпера, чем отличаются Ackqueue от Queue? Можно указать одну очередь, как на втором скрине, как будет работать?






  • Прошу совета. Проблема следующая, при 100% загрузке внешнего канала, не могу зайти на WEB морду сенса. Вопрос как сделать правило с отдельным лиметерем, источником в виде IP моей машины и назначением в виде IP сенса. Пробывал, не выходит в лиметер инфо, по созданным трубам трафик не бегает. Вариант два, поставить третью сетевую, чисто для доступа к PFsense. Что посоветуете?



  • Что посоветуете?

    Железо помощнее.



  • @aleksvolgin:

    Что посоветуете?

    Железо помощнее.

    Это из за железа? внешний канал 4Мбита, если удается пробиться на веб морду и уменьшить лиметер, что бы загрузка канала не была впотолок, то веб морда растормаживается.
    Ниже скрин с загрузкой железа при 85% загрузке канала.




  • Всем доброго времени суток. Возник такой вопрос - Лиметером режется скорость: входящая 1мбит, выходящая 512кбит. На спидтесте все четко показывает, то есть лиметер работает. Смотрю на LAN порт в трафик графике, у некоторых проскакивает исходящая скорость 600 - 800 - 1200 кбит, как с этим бороться? куда смотреть?

    ps правила с лиметером сделаны на LAN интерфейсе.



  • Как в PFsense заменить DNS(выключить)?  Что бы вместо внутреннего, использовался DNS гугла или яндекса например. Я нашел только где добавить дополнительные DNS. Но клиентам все равно раздается DNS 192.168.1.1, адрес sensa.

    Исходя из скрина, правильно я сделал - клиентам раздается мой ДНС, но он использует ДНС гугла. или я не правильно понял эту функцию?




  • Клиентам раздается с DHCP - там и ищите.



  • В общем разобрался:

    1. в General Setup устанавливаем галочку Allow DNS server list to be overridden by DHCP/PPP on WAN.
    2. там же устанавливаем Do not use the DNS Forwarder as a DNS server for the firewal(дабы вырубить локальный 127.0.0.1).

    В итоге, клиентам раздается ДНС 192.168.1.1, но используется установленный в графе DNS Server(как на скрине выше).

    Осталось два вопроса:
    Первый - хотелось бы совсем избавится от службы ДНС и раздавать сразу внешний(чей ни будь) ДНС, для уменьшения нагрузки на процессор.
    Второй - как раздать разным клиентам разные ДНС(есть необходимость), например одному алису ДНС гугла, другому ДНС яндекса.



  • @dvserg:

    Клиентам раздается с DHCP - там и ищите.

    В Services: DHCP server есть только два пустых поля с DNS-сервер. Не совсем понял что мне это даст. Цель - раздать разные ДНС(два) разным группам клиентов.

    Хелп ми))



  • @Song:

    @dvserg:

    Клиентам раздается с DHCP - там и ищите.

    В Services: DHCP server есть только два пустых поля с DNS-сервер. Не совсем понял что мне это даст. Цель - раздать разные ДНС(два) разным группам клиентов.

    Хелп ми))

    Ну так и вбивайте в эти поля нужные Вам адреса DNS-серверов. Клиенты, получающие адреса по DHCP, получат эти адреса в кач-ве DNS-серверов.

    И добавить правило для прохождения DNS запросов от клиентов в fw не забудьте.

    P.s. И что значит "… разным группам клиентов" ? У вас несколько LAN (физически)? Или VLAN-ы организованы?



  • @werter:

    @Song:

    @dvserg:

    Клиентам раздается с DHCP - там и ищите.

    В Services: DHCP server есть только два пустых поля с DNS-сервер. Не совсем понял что мне это даст. Цель - раздать разные ДНС(два) разным группам клиентов.

    Хелп ми))

    Ну так и вбивайте в эти поля нужные Вам адреса DNS-серверов. Клиенты, получающие адреса по DHCP, получат эти адреса в кач-ве DNS-серверов.

    И добавить правило для прохождения DNS запросов от клиентов в fw не забудьте.

    P.s. И что значит "… разным группам клиентов" ? У вас несколько LAN (физически)? Или VLAN-ы организованы?

    Нет LAN один, VLAN-ов тоже нет. Мысль была такая, создать два(три) алиса, и сделать так чтобы каждому алису абонентов давался разный DNS. Цель - у яндекса есть ДНС блокирующий опасный и взрослый контент, так вот некоторой части адресов нужно раздать этот ДНС, остальным другой.

    PS и еще назрел вопрос. IP, шлюз, ДНС раздаются автоматически через DHCP server с привязкой IP+MAC. На DHCP server установлена опция Deny unknown clients. В fw правило запрещающие весь диапазон кроме IP отданных клиентским машинам. Как избавится от возможности ручной смены IP клиентом? Сейчас если при ручном вводе попадаешь на занятый IP онлайн, то ОС ругается на занятый IP, но ели машина с привязанным IP уходит в офлайн, то при ручном вводе все настройки применяются и фаервол спокойно пропускает машину с ручными настройками.



  • Нет LAN один, VLAN-ов тоже нет. Мысль была такая, создать два(три) алиса, и сделать так чтобы каждому алису абонентов давался разный DNS. Цель - у яндекса есть ДНС блокирующий опасный и взрослый контент, так вот некоторой части адресов нужно раздать этот ДНС, остальным другой.

    И как Вы это себе представляете? Похожее решается через отдельные сетевые на pf для каждой вашей группы адресов.

    Как избавится от возможности ручной смены IP клиентом? Сейчас если при ручном вводе попадаешь на занятый IP онлайн, то ОС ругается на занятый IP, но ели машина с привязанным IP уходит в офлайн, то при ручном вводе все настройки применяются и фаервол спокойно пропускает машину с ручными настройками.

    Нужен будет свитч с поддержкой этого   - http://xgu.ru/wiki/Опция_82_DHCP . Из d-link - эти http://hotline.ua/network/kommutatory/?q=DES-3200



  • opt 82 используется на домовых коммутаторах доступа. Увы, сеть для которой работает PFsense вся на WiFi, тоесть у каждого клиента ST стоит и бриджом работает с AP, а AP уже в свич с opt82, но так как вся AP(и клиенты) используют только один порт на коммутаторе, то думаю это не подходит.
    Спасибо за помощь, буду поднимать PPPoE или PPTP, в сенсе нормально реализованы?



  • Здравствуйте! Дабы не плодить темы, напишу здесь! Вопрос следующий, приобрёл роутер на базе ALIX, с предустановленной pfSense. Решил попробовать данную ОСь. Имеется 2 WAN: Spark-DHCP, Beeline-L2TP. Настроил оба канала и Multi-Wan, так, как приведено в этой статье http://macrodmin.blogspot.ru/2012/02/multiwan-pfsense.html . Вопрос в следующем: при потере первого канала, роутер переключается на второй, но при возобновлении работы первого, он не переключается обратно. Есть ли настройки, отвечающие за критерии использования канала? И какие особенности могут возникнуть из-за L2TP и как нужно устанавливать приоритет, учитывая 3 подключения: WAN_Beeline, Wan_Spark, Wan_Beeline_L2TP. И ещё иногда при переключении каналов, отваливается интернет, с роутера пинги и трассировка проходит, но из LAN её нет, помогает даже не ребут, а удаление правила фаервола и создание его заново, с чем это может быть связано? Заранее спасибо!



  • У Beeline L2TP , уж извините за мой французский, c "подвыпердвертом". Где-то статьи были по настройке. И даже ветка целая была.



  • И даже ветка целая была.

    Эта ветка, вероятно.

    У Beeline L2TP , уж извините за мой французский, c "подвыпердвертом"

    Не, "подвыпердверт" это "russian PPPoE"  :D Даже боюсь спрашивать: корректно ли работает с этим чудом чудесатым сенс?



  • @aleksvolgin:

    И даже ветка целая была.

    Эта ветка, вероятно.

    У Beeline L2TP , уж извините за мой французский, c "подвыпердвертом"

    Не, "подвыпердверт" это "russian PPPoE"  :D Даже боюсь спрашивать: корректно ли работает с этим чудом чудесатым сенс?

    Да, вполне корректно! Правда полёт пока неделя, но нормальный! Меня больше волнует, как же заставить роутер возвращаться на билайн, после того, как он снова заработал? Почему это не происходит автоматически?



  • @aleksvolgin:

    Не, "подвыпердверт" это "russian PPPoE"  :D Даже боюсь спрашивать: корректно ли работает с этим чудом чудесатым сенс?

    Я бы не сказал, ибо PPPOE поднимается даже если на сетевой неправильный "серый" (локальный) адрес. И даже если с DHCP у провайдера проблема и адрес вообще "не пришел".
    Оно и понятно - пппое работает на канальном уровне, а л2тп\пптп - на сеансовом.



  • Сообщение не имеет осмысленного отношения к теме…
    Удалено..



  • Роутер, который я описывал выше. Стал периодически терять L2TP, но не совсем. То есть он в Гуе пишет, что L2TP Offline, а при этом часть клиентов работает, а часть нет… Что это такое?


Log in to reply