Limitar ancho de banda WAN con Squid



  • Saludos, Al final esta descrito la estructura de mi red y la configuración actual de mi pfsense. Como dice el titulo busco como limitar el ancho de banda de la Wan sin limitar la Lan ya que tengo de cache el Squid, he visto y probado varios tutos incluido el de bellera y no se si lo hago mal o me falta algo, en el asistente de Traffic Shaper coloque para subida 128kbps y bajada 512kbps, pero al irme a Status: Traffic Graph veo que la Wan me consume el maximo de mi ancho de banda de adsl, las pc que se conectan al pfsense las tengo reguladas con el portal cautivo. lo que busco es que la Wan no supere un limite que le señale

    pfsense 2.0.1
    squid 2.7.9

    ADSL–-PFSENSE---SWITCH---PC'S

    Firewall: Rules

    WAN

    ID Proto Source Port Destination Port Gateway    Queue    Schedule Description

    • RFC 1918 networks * *   *   *     *     Block private networks

    • Reserved/not assigned by IANA * *   *   *     * * Block bogon networks

    LAN

    ID Proto Source Port Destination Port Gateway Queue Schedule Description

        • LAN Address 22
          80   *         * Anti-Lockout Rule
    • LAN net * * * *   * none   Default allow LAN to any rule

    Firewall: Traffic Shaper
    WAN

    qInternet
            qACK
            qDefault

    LAN

    qLink
        qInternet
            qACK



  • saludos mi estimado a ver si le entiendo bien usted esta usando squid sobre pfsense??? no entiendo porque dice que limitando la wan limita la velocidad de navegacion en clientes ….. Primero ya se ha dicho anteriormente usar trafficshape con squid en pfsense no recomendable segundo para hacer limitaciones en clientes estilo planes de navegacion hay varias formas una de ellas es usando portal, otra usando squid fuera de pfsense con acl combinadas, ultima y mas acertada hasta ahora limitar en pfsense haciendo uso de squid fuera de pfsense en una dmz por medio de los llamados limiter. Esta ultima la mas utilizada personalmente cuando antiendo pequeños WISP en mi pais hasta ahora efectiva 100%

    Estamos a su orden



  • Gracias por tu interes, te explico, ya los clientes los tengo limitado con el portal cautivo, lo que sucede es que mi adsl me ofrece 8Mb/s de los que quisiera dedicar solo 2Mb a los clientes, es decir, que si tengo 10 clientes a 256 kbps aunque estos esten limitados por el portal igual la wan no entregue mas de 2mbps



  • WTF!!!????

    Porqué limitar el ancho de banda en la WAN?  me pregunto porqué dejarías de utilizar 6 Mbps?? salvo que no hayas explicado bien qué quieres hacer, realmente no entiendo la razón.

    Saludos



  • Mi estimado al usted limitar los clientes a la cantidad que hay colocado jamas ellos podran usar mas ancho de banda de ese suministrado y usted bien tiene la posibilidad de usar los megas restantes de su wan tranquilamente en los equipos que asi destine. Ahora bien le vuelvo a explicar lo que le indique anteriormente usted puede tener un squid en una dmz que este sea el unico que se comunique con la wan o salida a internet y establecerle a ese squid el ancho de banda que este podra usar total para servir los clientes pero hasta ahora no veo cual es el objetivo de esto ya que con hacer eso solo estaria forzando el server que posee para servir a los clientes y ralentalizando algunos procesos internos del mismo server para dar conexion a sus clientes….

    Vendria bien leer que desea lograr con esto para poder darle mejores luces en el caso



  • ok explico mas en detalle, quien me suministra internet es cantv tengo contratado 8 Mbps de los cuales nunca llegan a 4Mbps y hasta a veces no llegan a los 2 Mbps eso depende como amanezca, entre el pfsense y el modem adsl voy a colocar otro switch para tener salida directa sin pasar por firewall o pfsense, cuando la linea anda mal aun con el limite por portal cautivo igual me consumen el ancho de banda que me llega, lo he configurado de distintas formas y siempre por la cantidad de usuarios me llegan al total del ancho de banda  que cantv me da en ese momento



  • Por partes

    Si tienes un enlace por ADSL como indicas en tu primer diagrama, el máximo ancho de banda que vas a tener con CANTV es ese (8Mbps), pero no hay mínimos, todo va a depender de la cantidad de abonados que tenga la central de datos.

    Suponiendo que esa central de CANTV soporta 1Gbps y está para atender solo 500 abonados, (sabemos que la realidad es que meten lo que les da la gana :D ),  y todos los abonadoa están conectados y descargando, tu ancho de banda real llegaría solo a 1Ggbps/500 osea… 2Mbps, eso es para que entiendas cómo trabaja ADSL... si quieres tener 8Mbps reales, debes contratar otro tipo de servicio, enlaces dedicados que te dan con direcciones IP fijas, obviamente son muchísimo más caros que ADSL, pero te aseguran que tendrás 8Mbps simétrico, es dedicr, tanto de subida como de bajada. (Upstream y Downstream)

    Ahora entremos en tema....

    Estás limitando el ancho de banda a tus hosts, haré otro ejemplo numérico para que lo veas más claro...

    Tienes 100 hosts, todos limitados con TS a 100Kbps, chévere... pero si todos piden navegar, debes multiplicar 100Kbps * 100 hosts = (10Mbps) osea... saturarían un enlace de 10Mbps,  y tú solo tienes "8Mbps" y en el peor de los casos tomando el ejemplo anterior serían 2Mbps si es que realmente son 500 abonados y no 1000 del ejemplo :D

    Está claro que quieres tener "6Mbps" para ti, y dejar al resto con solo 2Mbps, pero espero que hayas entendido que con ADSL no te sirve ese cálculo.

    Ahora bien, para resolver tu inquietud, suponiendo que tengas un enlace dedicado, o que CANTV te asegure esos 8Mbps por ADSL, qué deberías de hacer (creo yo)....

    1.- Tener un proxy, es una condición sine qua non, sino vas a tener usuarios muy molestos por la lentitud de navegación, el caché del proxy te va a servir de mucha ayuda :-)

    2.- En la regla del firewall LAN  deberías tener algo tipo  "LanNet" con destino a "Proxy_Server / LanAdddress / any" con puerto 3128 (squid)  aplicas TS in/out  2Mbps. (No estoy seguro que funcione bien, probar y comentar)

    3.- Una regla previa a la de squid, debería ser la de tus hosts limitados a xxx_Kbps con destino al puerto 3128

    Espero te funcione...

    Repasando el punto 3, te explico las ventajas...

    Si limitas a tus usuarios a xxx_Kbps para navegación, y supongamos que tengas una DMZ con webservers internos, estarías limitando también el ancho de banda para algo local, lo cual es una locura :D  debes tener cuidado cuando apliques TS, po reso en el ejemplo, estás limitando el ancho de banda para el puerto del proxy. Tambien debes asegurarte que en sus navegadores no use proxy para los servicios/dominios locales, etc.

    Saludos.



  • Exactamente como dices rodria, claro no me supe explicar muy bien, por eso decia que solo limitar el trafico de wan, para que la red lan no se vea limitada al igual que el cacheo, porque a la final hay bastante contenido que se cachea.



  • rodria si utilizo una regla en el firewall en in/out pero wan address se limitaria la wan de ese modo?



  • Podrías probar, como te digo, no he hecho ese tipo de configuraciones… pero presumo que sería algo como:

    WAN

    TCP    Source: LAN net  Destino: WAN address    in/out  2Mbps.

    Puedes usar LAN net, o un Aliases por IP con todos los segmentos que quieras meter en esa regla. o por puerto... 80/443 por ejemplo...

    Saludos.

    Nota: recuerda comentar si te funciona.



  • acabo de hacerlo colocando la Lan en source, probe entrando a youtube y observando grafico de trafico de la wan se me pasa del limite llegando a 4mbps, detuve el squid para que si fuera este el que salta la regla y nada sigue pasandose



  • No entiendo…

    Has configurado el ancho de banda bien en  Firewall/Traffic Shaper/Limiter????  si no entiendes cómo configurarlo, puedes usar el Wizard (última pestaña), de lo contrario solo te queda probar una última opción, [By Interface] y allí limitas toda la interface WAN.

    Saludos.



  • si segui el wizard, fue lo primero que use, es el que me creo para wan: qInternet, qACK, qDefault y LAN, qLink, qInternet, qACK tanto asi que puse de subida 128kbps el cual si respeta pero la bajada la puse para probar 512kbps y nada me llega a los 4 mbps, me puedes dar un ejemplo para limitar toda la interface wan, para hacerlo de esa manera por favor



  • Como te expliqué anteriormente, no he hecho esto, estoy especulando de acuerdo a lo que veo en la configuración de TS

    Debería servirte (si es que así funciona)  Firewall/Traffic Shaper/[by Interface]/WAN

    Allí configuras el ancho de banda para la interface WAN, prueba usar PRIQ en lugar de HFSC, colocas el ancho de banda de acuerdo a lo que necesites.

    Saludos.

    PD. podrías ver picos (impulsos) mayores a lo configurado, pero solo algunos picos, si tienes una onda cuadrada superando el límite establecido, sabrás que hay un problema… los picos pueden suceder, aveces es más rápido la petición de ancho de banda que lo que puede actuar la regla :D



  • Lo que indica el compañero rodria es igual o parecido a lo que le indique mi estimado el establecimiento de limiters seria en lan y vuelvo y le repito necesita un servidor proxy-cache este si o si funciona mejor en una dmz que en este caso si usted quisiera puede limtar tambien pero no lo veo necesario ya que se veria ralentalizado el servicio final al usuario.

    Lo de las reglas que el compañero rodria le indicaba es sencillo usted puede colocar por encima de esta forma si tiene un dns local+servidor web+correo+asterik etc.

    Puede colocar una regla con source en lannet (si asi se llamara su subred de clientes) + si desea establacer seguridad vendria bien especificar para cuales puertos con aliasses (otro tema) con destination aliasses o direccion del servidor (web, dns,etc) esta no debe estar limitada o con limiters establecido para que la resolucion dns y el acceso al server web sea full velocidad para todos sin distincion y luego por debajo la regla con el limiters establecido con destino a su server proxy por planes o grupos de usuarios.

    En el supuesto caso que quisiera que el proxy que le sirve a los usuarios no pase de un trafico de 2 mbps (cosa descabellada porque realmente pondria lenta la navegacion limitando a proxy-cache a esa velocidad para resolverle a los clientes) basta con colocar una regla en esa dmz igual que la de los clientes limitando esta vez al proxy a esa velocidad. Y usted tendria en sus pc que esten en dmz o lan el resto de la velocidad supuesta de su plan cantv.

    Estamos a su orden y espero poder explicarle bien para que entienda. En ningun momento se hizo alguna limitacion en wan Recordar que la regla de oro para establecer reglas en pfsense es que se establecen en el origen del trafico.


Log in to reply