PfSense Config Hakkında



  • Selamlar;

    VMware ESXI üzerine PfSense 2.2 64bit versiyonunu kurdum. PfSense kullanım amacım misafirlere interneti olabildiğince düzgün bir şekilde dağıtmak.

    Yapımda 1 adet Wan 1 adet Lan bacağım var. Wan bacağı Adsl modem bridge mode da çalışıyor. Lan bacağı 172.17.0.0/22 networkü. PfSense de extra olarak kurulu herhangi bir paket yok. Bazı bölümlerin ekran görüntülerini ekledim. Sizin şöyle olsa daha iyi olur dediğiniz birşey varsa yazarsanız ve  kafama takılan aşağıdaki sorunlarla ilgili yardımcı olursanız sevinirim.

    1)Benim için en önemli olan konu interneti 1 kişi sömürmesin. Bununla ilgili forumda baya konu okudum fakat aradığımı bulamadım. Traffic Shaper dan 1 kullanıcı için en fazla 1mbps download yapsın diyebiliyorum yada 5 kişi 2 mbps kullansın diyebiliyorum fakat sisteme bağlı olan tüm kullanıcılardan 1 kullanıcı en fazla 1mbps kullansın diyemiyorum. Alias ekleyip kural yazarsam orda üye olanlara 1mbps hızı paylaştırıyor. Benim istediğim kaç kişi bağlı olursa olsun, bağlı olan kullanıcılardan herhangi biri 1mbps hızı geçemesin. Bununla ilgili nasıl bir kural yazarım.

    2)Forumdaki konuları okurken gözüme şöyle birşey takıldı. Bir arkadaş Wan bacağındaki tüm kullanıcılar interneti eşit kullansın şeklinde bir kural yazmış fakat nasıl yazdığını söylememiş. Böyle birşey yapılabilir mi? Yani 8mbps internetim var ve o an 8 kişi bağlıysa herkese 1mbps olarak yada sistemde 16 kişi varsa herkese 512k şeklinde eşit dağıtsın diye bir kural yazabilirmiyim?

    3)Dashboarda baktığımda gateway kısmında WAN_PPPOE kısmında ortalama %20 Packetloss görüyorum. Bu servis sağlayıcı ile mi ilgilidir yoksa ayarlarıyla ilgili bir sorun mu vardır. Paket kaybını önlemek için ne yapabilirim?

    4)Lan kuralları kısmında Lan net tüm portlardan heryere çıksın diye kural yazdığım halde log kısmından baktığımda landan wana çıkarken bloklanan yerler olduğunu görüyorum ekran görüntüsünü ekledim. Bu neyden kaynaklanmaktadır.

    5)Wan kuralları kısmına herhangi bir kural eklemedim. Dışarıdan içeriye hiç bağlantı yapılmayacak. Sadece internet dağıtıldığı için. Sizce wan kısmına herhangi bir kural eklemeli miyim?

    6)Bir adet tester diye alias oluşturup kendi kullandığım makineleri oraya ekleyip testler yapıyorum. Tüm portları kapatıp sadece gerekli portları açarsam belki biraz daha verimli olur diye düşündüm. Tümünü kapatıp 80,53,443,5222,5223,5228 portlarını açtım. Tüm kullanıcılara bunu uygulasam sizce sorun yaşar mıyım? Ayrıca kural yazarken bir kuralda tüm portları ekleyemedim. Her port için ayrı kural yazdım. Tek kural yazıp portların hepsini nasıl ekleyebilirim.

    7)Genel olarak sıkıntım herkesin internet çok yavaş çok kötü şikayetleri. Elimdeki 8mbps internetin o kadar kişiye yetmesi pek mümkün değil ama yinede en verimli şekilde nasıl internet dağıtabilirim. Sizce nasıl kurallar belirlemeliyim? Siz böyle bir yapı için nasıl bir config yapardınız?

    Yardımlarınız için şimdiden herkese teşekkürler.










  • 1- bunu captive portal ile yapmak mümkün olabilir. "Per-user bandwidth restriction" diye bir ayar var. CP'yi kurarken, kullanıcılara  kullanıcı adı şifre sormayacak şekilde ayarlarsınız.

    2- böyle birşey direk mümkün değil. Çünkü kullanıcının internete bağlıyım/bağlı değilim şeklindeki pratik algısı ile, pfsense tarafında teorik olarak bağlı/bağlı değil algısı arasında fark var.
    Bütün cihazlar hemen hemen her daim internete bağlı. Update kontorlü yapıyorlar, push servisleri var vesaire.

    Vakti zamanında forumun ingilizce kısmında birisi bir script yazmıştı. Dakikalık olarak aktif bağlantılara bakıp, traffic shaperdaki kuralı modifiye eden bir script idi. Ama yazan dahil kimse pek verim alamamıştı. Linki bulursam yollarım.

    3- Packet loss un sebebi, ya bağlantınızdaki fiziksel bir arızadır (kablolar, telekom tarafı vs) ya da ekran görüntüsünde göründüğü gibi, trafiğinizin, hattınızın kapasitesinin tamamını doldurmasıdır. Eğer ikinci durumdaysanız buna yapacak birşey yok.

    5- bu şartlarda eklememelisiniz. O kısma zaten çok özel bir ihityaç yoksa, genelde kural eklenmez. Muhtemelen NAT yaparsınız, yaptığınız NAT'a bağlı olarak otomatik kurallar gelir.

    6- portlar için bir alias oluşturun. Alias oluşturma ekranında bir listbox vardır. Orada Ports seçip, tüm portları toplayabilir ve kural yazarken de bu alias'ı kullanırsınız.

    7- valla durumunuz zor açıkçası :)
    Ben sizin yerinizde olsam (squid filan kullanmyacakasam) traffic shaper kullanırım.
    Traffic shaper'ın wizard'ı ile zaten temel kurulumu yaparsınız.
    Bu noktada DNS ve WEB'e öncelikler verirsiniz. Kullanıcıların genelde baktığı şey web performansı oluyor. Diğer tüm trafiği P2P kısıtlamasına sokarsınız.
    Pfsense'in HFSC tipi trafik shaping'i çok güzeldir.
    Düzgün bir ACK hesaplama ve HFSC nin parametreleri ile oynarak efektif sonuçlar elde edebilirsiniz.
    HFSC, Hierarchical Fair Service Curve demek. Burada bahsedilen curve'ın m1, d, m2 parametreleri ile oynarak birşeyler yapmak mümkün.
    Kabaca örnekliyorum, kullanıcı ilk 2 saniye şu kadar bir band genişliği ile bağlansın ama 3 saniye sonra band genişliği yarıya düşsün bile diyebilirsiniz.
    Kullanıcılar webde gezerken bir sayfayı açtıklarında, sayfanın çoğu gelir, kullanıcı onu okumaya başlarken, hızı azalarak tamamı yüklenir vsvs

    Şu makale fikir verecektir.
    https://calomel.org/pf_hfsc.html

    Belki bu tip kuralları uygularken, her bir ip için bir kural satırı yazmak bile gerekebilir :)

    Yine, trafiğinizi biraz inceleyip, yoğun kullanımın nerede olduğuna bakın.
    Belli kullanıcılara özel band genişliği kısıtlaması ve yine Traffic Shaper: Layer7 ile belli trafik çeşitlerine (zip download, videolar vs) kısıtlama kombinasyonları da yapabilirsiniz.



  • Packetloss un sebebi tüm trafiği kullanan bir torrent programı, ve download yapan kullanıcılar da olabilir.



  • Selamlar;

    Öncelikle ilginiz için teşekkürler.

    1. Captiva Portal kurarsam pos cihazları için herhangi bir sorun teşkli edermi acaba?

    2. Packet loss olayını test etmek için PfSense in Lan bacağını direk bir pcye takıp internete çıksam. Yani hat kapasitesini doldurmasam. Bu şekildede paket kaybı oluyorsa telekom yada kablo ile ilgilidir diye kesin söyleyebilirmiyim? Ayrıca eğer isteklerin gelenden fazla olmasından kaynaklanıyorsa mesela wan için 6mbps geçmesin diye bir kural yazsam bu sorun düzelir mi? Yada böyle  birşey yapılabilir mi?

    6)Portlar için Alias oluşturdum fakat port kısmında sadece port yazacak ekran var alias seçecek yeri bulamadım.

    7)Traffic Shaper dan wizard ile kurulum yaptım. Webe öncelik verip p2p yi kısıtladım fakat bunu uygulayınca pfsense çok yavaş çalışmaya başladı. Dashboard geç gelmeye başladı sorun neyden kaynaklanıyor anlamadım. Aslında ram cpu felan da iyi ama. Bu yüzden silmek zorunda kaldım.



  • 1- Captive Portaldan pass-through Mac adresine pos cihazlarının mac adreslerini girerseniz sorun oluşturmazlar.
    3- Packet loss için dediğinizi yapıp deneyin tek kendiniz internete çıkın dosya download edin bu süreçte kontrol edin Wan hattınızı.
    6- Ekran görüntüsü koyarmısınız ?
    7- Traffic shapper için pc konfigrasyonu yetersiz olabilir shape edilecek trafik çok yoğunsa İşlemci kullanımı çok artıyordur. (ihtimal ve tahmin)



  • @vtec2:

    Selamlar;

    Öncelikle ilginiz için teşekkürler.

    1. Captiva Portal kurarsam pos cihazları için herhangi bir sorun teşkli edermi acaba?

    2. Packet loss olayını test etmek için PfSense in Lan bacağını direk bir pcye takıp internete çıksam. Yani hat kapasitesini doldurmasam. Bu şekildede paket kaybı oluyorsa telekom yada kablo ile ilgilidir diye kesin söyleyebilirmiyim? Ayrıca eğer isteklerin gelenden fazla olmasından kaynaklanıyorsa mesela wan için 6mbps geçmesin diye bir kural yazsam bu sorun düzelir mi? Yada böyle  birşey yapılabilir mi?

    6)Portlar için Alias oluşturdum fakat port kısmında sadece port yazacak ekran var alias seçecek yeri bulamadım.

    7)Traffic Shaper dan wizard ile kurulum yaptım. Webe öncelik verip p2p yi kısıtladım fakat bunu uygulayınca pfsense çok yavaş çalışmaya başladı. Dashboard geç gelmeye başladı sorun neyden kaynaklanıyor anlamadım. Aslında ram cpu felan da iyi ama. Bu yüzden silmek zorunda kaldım.

    1- etmemesi lazım
    3- sizin sorununuz, grafikten görüldüğü kadarı ile kapasite yetersizliği ve yoğun kullanım. Paket loss varken, clientların bağlantılarını bir kesip bakın, packet loss kayboluyorsa, mesele hat hızınızdaki yetersizliktir diyebilirsiniz.
    6- firewall kuralı yazarken "Destination port range" kısmında from ve to kısmında other seçin. O esnada sağ taraflarındaki kutucuklara alias yazabilirsiniz.
    7-  Traffic shaper kullanılınca, talepler sıraya girer. Bu sebeple (belki de konfigürasyondaki bir mantıksızlık sebebi ile) pfsense'de erişiminiz yavaşlıyor olabilir. Donanımsal bir darboğaz yaşadığınızı pek sanmıyorum. Farklı konfigürasyon kombinasyonları deneyin derim.
    En başta çok basit bir konfigürasyon yapın. Sonra test ede ede, daha çok traffic shaper kuralı yazın.



  • Selamlar Arkadaşlar;

    1. Captive portal etkinleştirerek Per-user bandwidth restriction" kısımından 512kb download sınırı koydum. Pos cihazları içinde dhcp den ip adreslerini sabitledim ve captive portalda allowed ip adres kısmına ekledim. Test ettim sorunsuz çalışıyor. 512kb kullanıcı başına yeterlimi bilmiyorum ama yapmak istediğimi yaptım. Captive portal kullanıcı adı ve şifre sormayacak şekilde ayarladım. Giriş sayfasına kullanıcı adı ve şifre kısmını boş bırakıp devamı tıklayın dediğim halde arayan çok oluyor :) Belki otomatik login gibi birşey de vardır ama göremedim.

    2. Paket loss olayını test ettim. Yoğun internet kullanımı olmadığında Paket loss olmuyor. Traffic Graphs dan baktığımda kullanım 3-5mbps ise kayıp olmuyor. Yani sorun çok fazla istek olduğundan dolayı hattın yetersizliğinden kaynaklanıyor. Bunu engellemenin bir yolu varmıdır? Mesela istekler 7mbps yi geçmesin ki packet loss da olmasın gibi.

    3. Portlar için alias yazacağım yeri bulamamıştım. Other seçince yandaki kutucuğa yazabiliyormuşuz onu da hallettim.

    4. Traffic shaper için henüz yeni testler yapamadım. Fakat sorunun donanım yetersizliğinden kaynaklandığını düşünmüyorum açıkcası. Firewall için baya iyi bir donanım mevcut. Fakat dediğiniz gibi config ile ilgili bir sıkıntıdan dolayı oluyor olabilir. Tüm portları kapatıp sadece 80 ve 443 izin verince belki shaper olayına gerek kalmayabilir diye düşünüyorum. Traffic shaperı test edip son durumu buraya yazarım.

    Gözlemlediğim kadarıyla captive portalda giriş ekranında devam tıklayınca bazı telefon yada pc lerde sayfa görüntülenemiyor uyarısı veriyor. Fakat login işlemini gerçekleştiriyor. Ama sayfaya yönlendirmiyor. Bununla ilgili tecrübesi olan arkadaşlar varmıdır acaba?

    Yardımlarınızı için hepinize teşekkür ederim iyi çalışmalar.



  • 1- Captive portaldaki timeout süresini uzun tutarsanız, kullanıcılarınız en azından ilk loginden sonra her gün ayrı ayrı login olmak zorunda kalmazlar. Buraya 24 saat veya daha uzun süre yazmanızı çneririm.

    3- Bunun pratikte bir faydasını görmeyeceksiniz. Mevcut şartlarda kafaya takmanız gereken bir konu değil zaten.

    7- trafiğinizi ve kullanıcılarınızı biraz izleyin. Yoğun kullanımın keyfi sebepleri varsa buraları limitleyebilirsiniz. Torrentdi, videoydu vesaire. Anladığım kadarı ile ikinci bir hat alıp destekleseniz onu da doldurcaklar. :)



  • Selamlar;

    1. Captive portaldaki timeout süresini 24 saat yaptım. Dhcp lease süresini de 25 saat yaptım. Şu an için sıkıntı yok. Ama az önce başka bir konuda bir arkadaş bişey yazmış captiva portal ile ilgli aslında aradığım şey tam olarak oymuş bilgi olması açısından yazmak istedim. Allowed ip adres kısmına direk network yazıp hız sınırlaması yapabiliyormuşuz. Böyle yapsaydım direk networku komple yazıp 512kbps download geçmesin deseydim sanırım kullanıcı başı 512kbps hız olacaktı ve allowed olduğu içinde hiçbir karşılama ekranı gelmeden kullancılar direk bağlanabileceklerdi. Bende hız sınırlaması yapabilecektim. Ama tabi öyle birşey yazınca acaba tüm networke toplam 512kbps hız mı olacaktı yada ben networkten ayrı bir kişiye başka bir hız tanımlaması yapamayacakmıydım tam anlamadım :)

    2. Pek kafaya takmıyorum zaten şu an içinde hız sınırlaması yaptığımdan paket kaybı yok. Ama biz bu sorunu başka firewall kullandığımız metro hattımızdada yaşamışdık. 10mbit metro hattımızda fazla istek gönderdiğimizden dolayı telekom tarafı drop yapıyordu paketleri. Bizden fazla istek göndermememizi kısıtlamamızı istemişti. Yani pfsensede de böyle birşey yapılabiliyor olabilir belki diye sordum.

    3. Şu an traffic graph tan izliyorum download 5mbps civarlarında genelde. Açıkcası yoğun kullanımın keyfi sebepleri varsa bunları nasıl saptayacağımı bilmiyorum. :) Daha öncede interneti sömüren kimdir kim ne yapıyor bakamıyordum. Bununla ilgili tecrübelerinizi paylaşıranız sevinirim. Kolay gelsin.