RDP over GRE tunnel traffic shaper



  • Всем доброго времени суток,
    имею pfsense(WAN 200.200.200.200, LAN) с двумя GRE-туннелями:
    1. 200.200.200.200 -> 100.100.100.100
    2. 200.200.200.200 -> 110.110.110.110
    По первому туннелю ходит RDP, по второму все остальное
    Не могу сообразить, как правильно настроить приоритезацию трафика для RDP.
    На WAN-интерфейсе привязываться к порту 3351 смысла нет - там только GRE.
    С другой стороны, на LAN нет GRE
    В общем, запутался…
    За советы заранее благодарен :-)



  • Если б они были в одном туннеле, тогда - да. Попробуйте использовать лимитер, назначив gre rdp-туннелю большую скорость.



  • Гм..
    В общем, добровольно перевожу себя в разряд чайников, ибо ничего не получилось, как ни бился.
    Пробовал так:
    Создал два лимитера (у меня там ADSL 1\6 Мб\с с выделенным IP), UP на 0,5 Мб\с, Down на 1 Мб\с
    Далее, создаю и передвигаю вверх два правила на WAN:

    Action        Source                    Destination                In\Out
    Pass    200.200.200.200      !100.100.100.100        Down\Up

    Action        Source                    Destination                In\Out
    Pass    !100.100.100.100      200.200.200.200        Up\Down

    Т.е. мысль была на WAN-интерфейсе зарезать скорость всему, что не попадает под трафик с сервером терминалов (100.100.100.100).
    Не работает, тесты speedtest не изменяются.
    Где-то я ошибаюсь в самом принципе, да и комбинации source\destination в правилах меня смущают..



  • Правила для шейпинга создайте во Floating Rules.



  • Сначала сделал именно во floating, не работало… Ставил там action = queue и direction разные для каждого правила



  • Ур-ра! Сменил во floating action на PASS - работает!



  • Всем спасибо, кто откликнулся!
    Теперь вот еще вопрос - если создать шейпинг на базе PRIQ и навесить его примерно так:
    192.168.50.0 - локалка
    192.168.0.1 - адрес удаленного сервера терминалов

    LAN
    Action        Source                    Destination            In\Out
    Pass    192.168.50.0              !192.168.0.1        qACK\qHighRDP

    Action        Source                    Destination          In\Out
    Pass    !192.168.0.1              192.168.50.0        qHighRDP\qACK

    Остальной трафик пойдет через qDefault, для него не требуется отдельных правил?
    Имеет такая схема право на жизнь?
    Все же хотелось бы не резать жестко, а мягко отдавать приоритет…



  • @A_M:

    Всем спасибо, кто откликнулся!
    Теперь вот еще вопрос - если создать шейпинг на базе PRIQ и навесить его примерно так:
    192.168.50.0 - локалка
    192.168.0.1 - адрес удаленного сервера терминалов

    LAN
    Action        Source                    Destination            In\Out
    Pass    192.168.50.0              !192.168.0.1        qACK\qHighRDP

    Action        Source                    Destination          In\Out
    Pass    !192.168.0.1              192.168.50.0        qHighRDP\qACK

    Остальной трафик пойдет через qDefault, для него не требуется отдельных правил?
    Имеет такая схема право на жизнь?
    Все же хотелось бы не резать жестко, а мягко отдавать приоритет…

    Да, должно в дефолтную очередь все сбрасывать. Только очереди должны быть созданы для всех заинтересованных интерфейсов, где ходит подконтрольный трафик.



  • Спасибо огромное.
    В предыдущем посте у меня ошибка, в правилах "!" не нужны, конечно.
    А под подконтрольным трафиком вы имеете в виду только RDP?
    Интерфейс GRE (у меня RDPIface, ближний адрес 172.16.50.2, дальний(терминал) 172.16.50.1) - для него также два похожих правила должны быть?
    Типа:

    RDPIface

    Action        Source                    Destination            In\Out
    Pass    172.16.50.2              172.16.50.1        qACK\qHighRDP

    Action        Source                    Destination          In\Out
    Pass    172.16.50.1              172.16.50.2        qHighRDP\qACK

    Нужно ли это, если через этот интерфейс однозначно ходит только RDP?

    Или вы имеете в виду, что также нужно сделать шейпинг на WAN-интерфейсе, разделив приоритеты для GRE-туннелей?
    Уже для GRE-протокола?

    Надеюсь, я еще не надоел…


Log in to reply