Diffserv TOS



  • Holas, quisiera saber solamente si el marcado de paquetes funciona en el pfsense.. porque segun mis pruebas, no funciona.. y si es asi, que pasos hay que hacer para que funcione?
    ya busque varios links, pero nada, todo hace indicar que no funciona.. hay alguna solucion para esto???

    Gracias.



  • Porfa, que alguien se apiade de mi, jejeje



  • ¿Y si explicas algo más qué quieres hacer y nos dices los enlaces visitados?

    http://en.wikipedia.org/wiki/Differentiated_services

    ¿Hiciste pruebas sobre el tema?

    Google diffserv TOS pfsense



  • SI.

    En mi trabajo tenemos una red IPVPN que nos provee telefonica, en la cual, estan interconectados varios clientes nuestros.
    Como nosotros proveemos servicio de telefonia IP necesitamos que la voz este priorizada en la red IPVPN.
    Pues bien, nosotros queremos en cada cliente en vez de que ellos tengan un router cisco (alquilado y configurado por telefonica) nosotros poner nuestros propios routers (en pfsense). Interconectarlos con BGP (El cual ya funciona en nuestro lab de pruebas con OpenBGPD).
    EL problema con el que me tope fue al probar el marcado de paquetes… en la red BGP (administrado por telefonica obviamente) solo reconoce paquetes marcado con CS5 y CS1.. resulta que los paquetes que salen del PFSENSE (los ACK) no son marcados a pesar q les digo que los marque.

    Al generar una regla tanto en la LAN o en la WAN con "diffserv code point" se me va en el internet... pero cuando le quito el parametro "Diffserv code point" todo vuelve a la normalidad.

    Pienso que falta compilar algo en el kernel del pfsense para activar el TOS.

    Tengo el ultimo pfsense 2.1



  • Google diffserv code point pfsense

    El estado del tema, por lo que parece:

    https://redmine.pfsense.org/issues/2998

    Libro de pfSense

    6.10.4. TCP Flags
    By default, new pass rules for TCP only check for the TCP SYN flag to be set, out of a
    possible set of SYN and ACK. If you need to account for more complex scenarios, such as
    working around asymmetric routing or some other non-traditional combination of traffic
    flow, you can alter how the flags are checked here.

    Prueba marcando Any Flags



  • Buenos dias,

    Si, puse la regla en Any Flags y nada… no necesitare de un parche?.. o es que el pfsense 2.1 no soporta dscp.

    He creado una regla en FLOTAING y otra en LAN.. los analizo con "pfctl -sr -v" y se muestra que mi regla "DSCP" (creada en Flotaing) no hace match mientras que la regla Default allow TCP (creada en LAN)si hace match, pero esta no tiene dscp.

    pass in log quick on vr0 inet proto tcp all flags any dscp 0x28 keep state label "USER_RULE: DSCP"
      [ Evaluations: 181421    Packets: 0        Bytes: 0          States: 0    ]
      [ Inserted: uid 0 pid 50211 ]
    pass in log quick on vr0 inet proto tcp from 192.168.9.0/24 to any flags any keep state label "USER_RULE: Default allow TCP"
      [ Evaluations: 364      Packets: 24521    Bytes: 15179280    States: 4    ]
      [ Inserted: uid 0 pid 50211 ]

    vr0 –- interface LAN



  • ¿Probaste con sólo la regla en LAN?


  • Rebel Alliance

    No soy experto en este tema.. pero entiendo que quieres que el pfSense "Marque" los paquetes que decides priorizar ? Si no estoy errado, pfSense NO marca paquetes, solo te permite "seleccionar" paquetes "marcados" y "operar" con ellos…. Busca posts de ermal en la sección en ingles del foro, que si no me falla la memoria el tocó el tema en una ocasión ;)

    Intentaste "marcando" los paquetes en el ATA ?



  • Buenas tardes..

    gracias por sus respuesta, disculpen mas bien la demora en responderles (tenia mucho trabajo :-) )

    He probado colocando la regla de marcado en la Interface LAN, el resultado fue que no tengo internet… cuando le quito lo del DSCP tengo internet normal...
    Es decir, al parecer el PFSENSE intenta marcar los paquetes pero algo pasa que hace q los paquetes se descarten.. :(

    Estoy buscando en el foro de ernal haber que encuentro... :)

    ptt , que quiere decir Intentaste "marcando" los paquetes en el ATA ?  :-[


  • Rebel Alliance

    Digo, en los ATA's tienes la opción de "marcar" los paquetes para que el "dispositivo" que esté delante de ellos (si es que maneja QoS) pueda "priorizar" los paquetes de voz…..






  • Buenas tardes

    No, no he probado la config por algun ATA.. lo que deseamos es probar la voz, pero a futuro tambien priorizar otras aplicaciones, de alli a que necesitamos que nuestro router marque los paquetes para que lleguen correctamente marcados a nuestro proveedor de IPVPN.

    He estado leyendo y creo que el Pfsensen no marca los paquetes, solo trabaja sobre paquetes ya marcados… pero para validarlo tengo que hacer una prueba pero necesito alguna ayuda:

    He verificado que todos paquetes DESTINO hacia una PC (dentro del cliente que pertenece a la red IPVPN) llegan marcados con CS1... entonces, que regla tengo que poner en el pfsense para que esos paquetes haga match??

    Puse en Flotaing, WAN y LAN algunas regla con direcciones "in","out" o "any" en mi interface WAN y LAN para todas las conexiones TCP con DSCP CS1.. pero nada, no hace match... SOLAMENTE hace match paquetes dirigidos HACIA la interface en si, es decir, hacia la IP de la interface.

    Entonces no entiendo porque no hace match si el paquete yo verifico con wireshark que vienen marcados con CS1...

    Estoy en un lio .. :(

    SAludos  8)


  • Rebel Alliance

    No lo tomes a mal, pero si se trata de una aplicación comercial, y de un escenario que DEBE funcionar 100% OK… No sería mejor utilizar el soporte comercial de pfSense para que te den una solución al tema ?

    https://portal.pfsense.org/


Log in to reply