Squid+multiwan



  • Имею Pfsense 2.1.6
    есть 2 интерфейса wan - 2 МТС модема с жуткой скоростью. ввиду специфики местности, в которой расположен объект, кроме МТСа как оператора там нет. Телефонной сети нет. Спутник с пингами в 1.6 - 2.5 секунд по понятным причинам нам не подходит.
    так же есть 2 lan интерфейса - lan и guestlan. wan интефейсы объединены в мультиван с весом - 1 , с включенными sticky connection.
    в основном лане есть 3 сервака+ 2 юзерских компа в bypassproxy. в proxy server'e выставлен лимит perclient 24kByte/s-128kbit/s
    косяк обстоит в том, что squid весь http траффик по 80 порту, хоть и режет на всех в обоих сетках по 128кил, но пускает в интерфейс по умолчанию. на остальной траффик по другим портамдля сетки guestlan стоит лимитер в 2Mbitps.
    я воспользовался гуглом и мануалами - http://www.thin.kiev.ua/router-os/50-pfsense/411-squidmulti-wan-.html
    я дописал```
    tcp_outgoing_address 127.0.0.1

    создал флоатинг правило для out TCP 80 порта из интерфейса "по умолчанию" в "мультиван". после всех манипуляций система встала колом. подскажите, что я делаю не так? куда копать? а лучше помогите с реализацией задачи. отель. внутренняя сетка + вафля для гостей. гостям обрезать шейпером ширину канала и раздать по 128кил на нос. при условии, что на объекте (поселок Гузерипль, 20 км и дорога упирается в гору, за горой Сочи и Дагомыс, опа мира короче) всего 2 МТС модема со средней скоростью 1.5-3 мегабит.
    буду рад любой помощи. начинающий пингвинятник.


  • Что значит, система встала колом?



  • Кстати земляк, попробуй мегафон, возьми роутер с внешней антенной мимо, и я думаю все получиться. И напиши внятно что требуется сделать?



  • @flagman:

    Кстати земляк, попробуй мегафон, возьми роутер с внешней антенной мимо, и я думаю все получиться. И напиши внятно что требуется сделать?

    там только мтсовская вышка и нет больше ничего.
    @flagman:

    Что значит, система встала колом?

    скорость упала до такого, что по тимке не зайти даже на серваки которые байпас прокси идут



  • Давай с начала, поставь чистый 2.2.1 настрой первый wan и правила шейпера и сквида какие требуются, когда все будет отрабатывать как ты хочешь, добавь второй wan, и настрой баланс



  • Модемы с антенами используешь? Модель модемов?



  • А почему бы просто Limiter не использовать без всяких прокси ? Пускай весь трафик динамически делится между пол-ми.



  • Тож верно, очень рабочее решение



  • @flagman:

    Давай с начала, поставь чистый 2.2.1 настрой первый wan и правила шейпера и сквида какие требуются, когда все будет отрабатывать как ты хочешь, добавь второй wan, и настрой баланс

    воспользуюсь советом, обновлю до 2.2.1  идея как раз таки и состоит в том, что бы аггрегировать каналы, тем самым увеличить пропускную способность и повысить отказоустойчивость. развесить 2 разных лан интерфейса на 2 разных ван самый простой вариант.
    @flagman:

    Модемы с антенами используешь? Модель модемов?

    МТС свистки торчат в Зиксель роутерах. моделей свистков не знаю.
    @werter:

    А почему бы просто Limiter не использовать без всяких прокси ? Пускай весь трафик динамически делится между пол-ми.

    Почитал про Limiters. Насколько я понял Dummynet pipes создает динамические очереди из подключений, тем самым распределяет нагрузку равномерно на канал и делит его поравну между пользователями. мне же нужно выдать 128кил на рыло принудительно в гостевой сети.



  • мне же нужно выдать 128кил на рыло принудительно в гостевой сети.

    Не поверите (sic!), но Limiter и это может.



  • Не обновляй, а ставь чистую 2.2.1, с диска. Если есть возможность, то купи модем с антенной, прием лучше будет, и скорость и пинг.



  • @werter:

    мне же нужно выдать 128кил на рыло принудительно в гостевой сети.

    Не поверите (sic!), но Limiter и это может.

    научи
    кажись я понял. если указать параметры маски как source adressess для лимитера in и соответственно destination adressess для out, выставить значения in/out в правиле файрвола для лан интерфейса, то ограничение будет работать per host, а не на весь интерфейс. значение маски только оставить пустыми. я прав?

    If 'source' or 'destination' slots is chosen, leaving the mask bits blank will create one pipe per host. Otherwise specify the number of 'one' bits in the subnet mask used to group multiple hosts per pipe.



  • В общем, сделал все как описал выше. костыль в виде запуска squid'a через мультиван ни к чему.
    Делаем правило для lan интерфейса. указываем ему wan интефейс ввиде группы. в лимитере делаем 2 лимитера, ин и аут. для in выбираем source adresses, для out соответственно destination. поля mask оставляем пустыми. выставляем в firewall->rules-> "lan rule" в полях in/out наши лимитеры. profit.



  • @whiteunicorn:

    указываем ему wan интефейс (???) ввиде группы.

    В смысле в кач-ве Gateway указываем группу LoadBalancing ? Я правильно понял? Потому как есть еще "вариант" и с Failover. Далее  - "вес" WAN-интерфейсов у вас одинаков?

    И поставьте галки на Allow default gateway switching и Stickly connections. После этого сделайте Reset states

    выставляем в firewall->rules-> "lan rule" в полях in/out наши лимитеры. profit.

    Не совсем. Я бы создавал это правило во Floating Rules.

    P.s. Покажите скрины правил fw на LAN и на Floating rules.



  • @werter:

    В смысле в кач-ве Gateway указываем группу LoadBalancing ? Я правильно понял?

    Да

    Далее  - "вес" WAN-интерфейсов у вас одинаков?

    нет, т.к. один интерфейс используется в другом мультиване, а второй нигде кроме этого. вес 1/4

    И поставьте галки на Allow default gateway switching и Stickly connections. После этого сделайте Reset states

    Спасибо за подсказку, но это я делал еще когда аггрегировал каналы.
    во флоатингах у меня ничего кроме блока портов с 1025 по 65535 ибо торренты это зло.

    в guestlan правилах 2 правила - отдельно для tcp и udp с указанием только дефолт гетевея = моего мультивана(аггрегированного интерфейса) и выставленными лимитерами in/out. смысла делать из этого скрины совершенно никакого. это гостевая сетка, для клиентов, задача стояла только ограничить по траффику.


Log in to reply