Riservare banda alla navigazione di un sito https



  • Ciao,

    non riesco a configurare una cosa per me importante su pfsense.
    Ho pfsense 2.1.5 configurato con autenticazione squid per la navigazione internet.
    Devo fare in modo che:

    1. per un solo sito in https non venga richiesta autenticazione squid

    (L'ho aggiunto in "Proxy server: Access control\ACL" come ip in "Unrestricted IPs" e come indirizzo web completo in "Whitelist", ma richiede ancora autenticazione)

    1. per raggiungere quel sito ci sia sempre una parte della banda riservata

    (Ho creato dei limiti in Traffic Shaper down/up legati ad una rule al firewall con i relativi valori. Però ciò è legato agli ip della lan indicati per navigare genericamente su web, mentre a me interessa solo che di tutta la banda internet ci sia sempre una parte riservata alla navigazione verso quel sito)

    Non so se sono stato chiaro, su web ho cercato ma non trovo molto di specifico.

    Grazie per l'attenzione



  • Devi impostare l'IP da ignorare su "bypass proxy for these IP destination / source". BTW ti consiglierei di passare a 2.2 chegestisce meglio ste cose su squid3

    cheers



  • sì, però quella opzione vale solo in "transparent mode", quindi senza autenticazione.
    Prossimamente passo alla 2.2, per ora non posso perché non vorrei rischiare problemi senza testare bene che funzioni.



  • Ciao,
    i problemi sono due, per impostare i limiti correttamente sulla documentazione di PfSense (https://doc.pfsense.org/index.php/Limiters) trovi:

    Using Limiters for Bandwidth Guarantees

    To guarantee a certain amount of bandwidth using Limiters instead of enforcing an upper limit, make four limiters as follows:

    Bandwidth to guarantee upload
        Bandwidth to guarantee download
        Total bandwidth upload (less guaranteed above)
        Total bandwidth download (less guaranteed above)

    Ensure that the Mask to anything other than "none". It must be "none" for these to work properly.

    If the WAN has 8Mb down and 2Mb up, to guarantee 512Kb/s for service X create queues sized like so:

    512 Kb/s
        512 Kb/s
        1536 Kb/s
        7680 Kb/s

    Then direct the guaranteed service traffic into the first two limiters, and everything else into the "total" limiters.

    Problema 2 non chiedere autenticazione SOLO quando un client chiede accesso ad un determinato sito… sulle impostazioni di squid3 dovrebbe trovarsi il campo in figura... hai provato con questi parametri? Pero' e' impossibile che possa funzionare inserendo una rete/IP di destinazione perche' l'autenticazione Squid la chiede PRIMA di sapere la destination network...



  • Sì, avevo già visto sulla guida in merito ai limiti, che sono già impostati correttamente tramite le rules e funzionano ma valgono per gli ip lan specificati in "Source\Address" della rule.

    Assegnano un massimo di banda indicato dal Traffic shaper\Limiter in Down/Up ai client, ma a me interessa che una parte della banda (ad es. se ho una adsl da 6mb ne venga riservata 1mb) sia dedicata alla navigazione verso un solo sito internet, nel mio caso https.
    Forse non si può fare oppure è la soluzione sbagliata. Credo si possa prendere l'esempio della divisione di banda per chi usa il voip tramite internet e pfsense. Verificherò.

    Invece, per autenticarmi via squid tranne che per un sito ho trovato questa soluzione (che riguarda però chrome e non squid, quindi è solo un sotterfugio che mi fa puntare alla porta di dansguardian senza autenticazione):
    http://askubuntu.com/questions/513840/google-chrome-proxy-settings

    Su squid non trovo opzioni che mi permettano questo, a meno (forse) di qualche settaggio personalizzato in Integrations o Custom Options.

    Grazie