Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    RDP over GRE tunnel traffic shaper

    Scheduled Pinned Locked Moved Russian
    9 Posts 3 Posters 1.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • A
      A_M
      last edited by

      Всем доброго времени суток,
      имею pfsense(WAN 200.200.200.200, LAN) с двумя GRE-туннелями:
      1. 200.200.200.200 -> 100.100.100.100
      2. 200.200.200.200 -> 110.110.110.110
      По первому туннелю ходит RDP, по второму все остальное
      Не могу сообразить, как правильно настроить приоритезацию трафика для RDP.
      На WAN-интерфейсе привязываться к порту 3351 смысла нет - там только GRE.
      С другой стороны, на LAN нет GRE
      В общем, запутался…
      За советы заранее благодарен :-)

      1 Reply Last reply Reply Quote 0
      • werterW
        werter
        last edited by

        Если б они были в одном туннеле, тогда - да. Попробуйте использовать лимитер, назначив gre rdp-туннелю большую скорость.

        1 Reply Last reply Reply Quote 0
        • A
          A_M
          last edited by

          Гм..
          В общем, добровольно перевожу себя в разряд чайников, ибо ничего не получилось, как ни бился.
          Пробовал так:
          Создал два лимитера (у меня там ADSL 1\6 Мб\с с выделенным IP), UP на 0,5 Мб\с, Down на 1 Мб\с
          Далее, создаю и передвигаю вверх два правила на WAN:

          Action        Source                    Destination                In\Out
          Pass    200.200.200.200      !100.100.100.100        Down\Up

          Action        Source                    Destination                In\Out
          Pass    !100.100.100.100      200.200.200.200        Up\Down

          Т.е. мысль была на WAN-интерфейсе зарезать скорость всему, что не попадает под трафик с сервером терминалов (100.100.100.100).
          Не работает, тесты speedtest не изменяются.
          Где-то я ошибаюсь в самом принципе, да и комбинации source\destination в правилах меня смущают..

          1 Reply Last reply Reply Quote 0
          • D
            dvserg
            last edited by

            Правила для шейпинга создайте во Floating Rules.

            SquidGuardDoc EN  RU Tutorial
            Localization ru_PFSense

            1 Reply Last reply Reply Quote 0
            • A
              A_M
              last edited by

              Сначала сделал именно во floating, не работало… Ставил там action = queue и direction разные для каждого правила

              1 Reply Last reply Reply Quote 0
              • A
                A_M
                last edited by

                Ур-ра! Сменил во floating action на PASS - работает!

                1 Reply Last reply Reply Quote 0
                • A
                  A_M
                  last edited by

                  Всем спасибо, кто откликнулся!
                  Теперь вот еще вопрос - если создать шейпинг на базе PRIQ и навесить его примерно так:
                  192.168.50.0 - локалка
                  192.168.0.1 - адрес удаленного сервера терминалов

                  LAN
                  Action        Source                    Destination            In\Out
                  Pass    192.168.50.0              !192.168.0.1        qACK\qHighRDP

                  Action        Source                    Destination          In\Out
                  Pass    !192.168.0.1              192.168.50.0        qHighRDP\qACK

                  Остальной трафик пойдет через qDefault, для него не требуется отдельных правил?
                  Имеет такая схема право на жизнь?
                  Все же хотелось бы не резать жестко, а мягко отдавать приоритет…

                  1 Reply Last reply Reply Quote 0
                  • D
                    dvserg
                    last edited by

                    @A_M:

                    Всем спасибо, кто откликнулся!
                    Теперь вот еще вопрос - если создать шейпинг на базе PRIQ и навесить его примерно так:
                    192.168.50.0 - локалка
                    192.168.0.1 - адрес удаленного сервера терминалов

                    LAN
                    Action        Source                    Destination            In\Out
                    Pass    192.168.50.0              !192.168.0.1        qACK\qHighRDP

                    Action        Source                    Destination          In\Out
                    Pass    !192.168.0.1              192.168.50.0        qHighRDP\qACK

                    Остальной трафик пойдет через qDefault, для него не требуется отдельных правил?
                    Имеет такая схема право на жизнь?
                    Все же хотелось бы не резать жестко, а мягко отдавать приоритет…

                    Да, должно в дефолтную очередь все сбрасывать. Только очереди должны быть созданы для всех заинтересованных интерфейсов, где ходит подконтрольный трафик.

                    SquidGuardDoc EN  RU Tutorial
                    Localization ru_PFSense

                    1 Reply Last reply Reply Quote 0
                    • A
                      A_M
                      last edited by

                      Спасибо огромное.
                      В предыдущем посте у меня ошибка, в правилах "!" не нужны, конечно.
                      А под подконтрольным трафиком вы имеете в виду только RDP?
                      Интерфейс GRE (у меня RDPIface, ближний адрес 172.16.50.2, дальний(терминал) 172.16.50.1) - для него также два похожих правила должны быть?
                      Типа:

                      RDPIface

                      Action        Source                    Destination            In\Out
                      Pass    172.16.50.2              172.16.50.1        qACK\qHighRDP

                      Action        Source                    Destination          In\Out
                      Pass    172.16.50.1              172.16.50.2        qHighRDP\qACK

                      Нужно ли это, если через этот интерфейс однозначно ходит только RDP?

                      Или вы имеете в виду, что также нужно сделать шейпинг на WAN-интерфейсе, разделив приоритеты для GRE-туннелей?
                      Уже для GRE-протокола?

                      Надеюсь, я еще не надоел…

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post
                      Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.