Netgate SG-1000 microFirewall

Author Topic: Как с Wan раздать инет VLAN?  (Read 793 times)

0 Members and 1 Guest are viewing this topic.

Online pigbrother

  • Hero Member
  • *****
  • Posts: 1698
  • Karma: +212/-2
    • View Profile
Re: Как с Wan раздать инет VLAN?
« Reply #15 on: August 07, 2017, 11:04:42 am »
Скажите а почему такие трудности раздачи интернет по ВЛАН ? Ведь по Лан элементарно передается. По идее при создании ВЛАН и прописке родителя ВАН и правил таких же как в ЛАН по идее должно хватить.

да, правильно настроенный VLAN для pfsense - просто еще один интерфейс\сетевая плата.

И ещё вопрос надо ли, что бы сетевая карта поддерживала 801q ? Может из-за этого такие трудности?
Желательна аппаратная поддержка. Теоретически дешевые сетевые платы могут криво поддерживать работу с VLAN.
Выполните ifconfig. В выводе для физической карты должны быть упоминания о VLAN. У меня это выглядит так:
igb0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
   options=400bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWTSO>
HW - аппаратная поддержка. Она не обязательна, но с ней лучше.

Не очень ясно, для чего вам VLAN. Если не для разделения подсетей, то для ограничения скоростей VLANы не нужны.

и вручную батником менять шлюз на клиентских компах
Тоже не ясно, т.к
Есть один вход физический ВАН
О смене каких шлюзов идет речь?
« Last Edit: August 07, 2017, 11:14:48 am by pigbrother »

Offline combat

  • Newbie
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: Как с Wan раздать инет VLAN?
« Reply #16 on: August 09, 2017, 08:56:05 am »
Здравствуйте. Я делаю батники что бы в подсетях подставлять в свойствах ТСP/IPv4  в графе шлюз 192.168.х.х , что бы юзеры виндовые смогли с рабочего стола одним кликом поменять шлюз и тем самым увеличить или уменьшить скорость. Сейчас объясню как. Например есть две подсети 192.168.0.1 и 192.168.5.1 На них шейпером ставлю ограничение по скорости и в РУЛАх прописываю  192.168.0.1 - 5 мбит и 192.168.5.1 - 10мбит. Затем делаю батники

 10 мбит

route delete 0.0.0.0 mask 0.0.0.0 192.168.0.1
route -p add 0.0.0.0 mask 0.0.0.0 192.168.5.1

5 мбит
route delete 0.0.0.0 mask 0.0.0.0 192.168.5.1
route -p add 0.0.0.0 mask 0.0.0.0 192.168.0.1

Теперь когда надо нам нужная скорость просто клацаем на батник и получаем результат. Так вот, я хотел что бы с одного физического конца получить две подсети LAN и VLAN вместе с интернетом. У ЛАНА есть инет,у ВЛАНА нет. Видно придется толкнуть Асрок с одной PCI  и купить другую мамку и подкупить еще одну сетевую. Надве сетевушки думаю  колдовать не надо инет сразу будет раздаваться на них.
Я может устарел в планах раздачи и ограничения пользователей скорости инета, но на старом сервере было десять таких шлюзов и 10 батников которые переключали и ограничивали интернет. Я так  подумал что так можно было бы замутить с ВЛАНАМИ :)))
  Потом попробовал с виртуальным айпи но на него шейпер недействует сквозит как и физический ЛАН :)

Online pigbrother

  • Hero Member
  • *****
  • Posts: 1698
  • Karma: +212/-2
    • View Profile
Re: Как с Wan раздать инет VLAN?
« Reply #17 on: August 09, 2017, 11:17:35 am »
Я может устарел в планах раздачи и ограничения пользователей скорости инета, но на старом сервере было десять таких шлюзов и 10 батников которые переключали и ограничивали интернет.

Самый, пожалуй, экзотический способ управления трафиком, который я встречал.

Да и как проследить, что юзер сознательно ограничил сам себе скорость?

Offline combat

  • Newbie
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: Как с Wan раздать инет VLAN?
« Reply #18 on: August 09, 2017, 12:00:47 pm »
Ну так подскажите пожалуйста как порезать трафик  и что бы изменять виндовыми средствами ? Кстати собрал на двух сетевухах и нормально режет скорость. И раздается  инет нормально. Пока все начальные настройки и полет  нормальный. Но тут появилась одна хрень. Если юзер начинает качать на своем компе что-то, то падает инет во всем офисе. У юзера ограничение 5 мбит вроде и скорость не большая от 100 мбит общей, но все-таки. Может подскажите куда смотреть или что делать ? Правда странно как-то. Может шейпер не так работает ?

Online pigbrother

  • Hero Member
  • *****
  • Posts: 1698
  • Karma: +212/-2
    • View Profile
Re: Как с Wan раздать инет VLAN?
« Reply #19 on: August 10, 2017, 01:57:10 pm »
Ну так подскажите пожалуйста как порезать трафик  и что бы изменять виндовыми средствами

Если хотите управлять скоростью именно на клиенте - лет 15 назад использовал такую штуку:
https://www.netlimiter.com
Позволяет управлять не только трафиком клиента вообще, но и управлять трафиком  конкретных приложений.
Минус - программа платная.

Правильным же, IMHO, способом является настройка лимитера\шейпера на самом pfsense.


Offline combat

  • Newbie
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: Как с Wan раздать инет VLAN?
« Reply #20 on: August 12, 2017, 05:15:52 am »
Нет на винде каждому клиенту смысла нет. Поставил две сетевухи на разные подсети. Инет везде есть и ограничения на пользователей шейпером.  Все работает без проблем. Но теперь такая штука возникает - когда кто-то качает торрент, у  него стоит ограничение, но падает вся сеть и у всех с лагами интернет. Хотя на офисе 100 мбит общий канал, а клиент тянет торрент всего 10 мбит  в чем может быть проблема ?

Offline werter

  • Hero Member
  • *****
  • Posts: 4915
  • Karma: +230/-14
    • View Profile
Re: Как с Wan раздать инет VLAN?
« Reply #21 on: August 12, 2017, 07:03:58 am »
Доброе.
https://forum.pfsense.org/index.php?topic=110938.0
https://forum.pfsense.org/index.php?topic=111231.0

Настройка shaper-а - дело крайне нетривиальное.  Внимательность и еще раз - внимательность.
И еще. Никогда не ставьте 100% скорости канала в настр. шейпера, якобы выданного вам провайдером. Не нужно лепить по 100 мбит\с туда\обратно - никто вам такой скорости за те деньги, что платите не гарантирует. Используйте скорости, близкие к реальности - 10-20-30 Мбит\с. Иначе толку от вашего "шейпера" будет 0.

P.s. Эка вы с места в карьер рванули. Толком как работает vlan (и модель OSI в целом) не разобрались хоть немного, а уже - шейпер. Не думаю, что выйдет толк из ваших настроек. Уж как есть говорю

P.p.s. Первый раз сталкиваюсь, когда на раб. месте разрешены торренты.
« Last Edit: August 12, 2017, 07:11:06 am by werter »

Online pigbrother

  • Hero Member
  • *****
  • Posts: 1698
  • Karma: +212/-2
    • View Profile
Re: Как с Wan раздать инет VLAN?
« Reply #22 on: August 12, 2017, 07:09:00 am »
Ограничить общее число подключений в торрент-клиенте до 100-150.
Какова загрузка CPU на pfSense при нагрузке торрентами? Какой процент отъедают при этом IRQ на сетевых картах?
смотреть можно так:
top -aSH
пример вывода:

root       -92    -     0K   640K WAIT    3 865:24  0.49% [intr{irq261: igb0:que}]

и
vmstat -i

Offline combat

  • Newbie
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: Как с Wan раздать инет VLAN?
« Reply #23 on: August 12, 2017, 08:36:25 am »


P.s. Эка вы с места в карьер рванули. Толком как работает vlan (и модель OSI в целом) не разобрались хоть немного, а уже - шейпер. Не думаю, что выйдет толк из ваших настроек. Уж как есть говорю

P.p.s. Первый раз сталкиваюсь, когда на раб. месте разрешены торренты.

Всё правильно Вы говорите, но время не терпит и надо было хоть как-то запуститься. Мне уже все равно какой дистриб программного маршрутизатора, лишь бы просто и быстро настроить :) Влан по-прежнему не  работает, поставил две сетевухи и работают две подсети и режет скорость. Дело в том, что  один начинает обновлять игрушку или качать торрент и ложится вся сеть. Тут дело не в ограничениях коннекций. Тут надо пойти по такому принципу, если все качают, например и у всех ограничения 5 мбит, то если не хватает скорости общей надо распределять  равномерно одинаково между пользователями.
 Смотрел на мониоринг, когда падала сеть и нагрузка на проц и другие параметры были минимальные. Проц АМД Атлон II, оператива 2 гБ - я думаю за глаза.
« Last Edit: August 12, 2017, 08:41:21 am by combat »

Online pigbrother

  • Hero Member
  • *****
  • Posts: 1698
  • Karma: +212/-2
    • View Profile
Re: Как с Wan раздать инет VLAN?
« Reply #24 on: August 12, 2017, 01:13:19 pm »
то если не хватает скорости общей надо распределять  равномерно одинаково между пользователями.
https://www.reddit.com/r/PFSENSE/comments/3e67dk/flexible_vs_fixed_limiters_troubleshooting_with/

Offline werter

  • Hero Member
  • *****
  • Posts: 4915
  • Karma: +230/-14
    • View Profile
Re: Как с Wan раздать инет VLAN?
« Reply #25 on: August 13, 2017, 07:32:20 am »
Доброе.
Limiter попробуйте. Не shaper. У конкурентов неплохо описано https://docs.opnsense.org/manual/how-tos/shaper.html

Offline combat

  • Newbie
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: Как с Wan раздать инет VLAN?
« Reply #26 on: August 13, 2017, 09:54:34 am »
И Вам доброго :) Использовал лимитер как раз. Просто ограничил скорость. Все нормально - разные подсети имеют разную скорость. А когда начинает юзер качать с его обрезанной скоростью падает вся сеть. Я пока играюсь настройками по Ваши ссылкам. Потолкаюсь по очередям может что и толковое выйдет. Будут какие-то сведения отпишусь :)

Offline werter

  • Hero Member
  • *****
  • Posts: 4915
  • Karma: +230/-14
    • View Profile
Re: Как с Wan раздать инет VLAN?
« Reply #27 on: August 13, 2017, 10:04:16 am »
Внимательно с Limiter-ом. Для того, чтобы канал делился динамически поровну между всеми - не указывайте ничего в destination и source в настройках limiter-а.