pfSense Support Subscription

Author Topic: ERLEDIGt: Traffic Shaper / Limiters: Bandbreitenbegrenzung bestimmter Hosts/IPs  (Read 453 times)

0 Members and 1 Guest are viewing this topic.

Offline raaalf

  • Newbie
  • *
  • Posts: 22
  • Karma: +0/-0
    • View Profile
2.3.4-RELEASE (i386)


Servus zusammen,

ich möchte die Bandbreite für bestimmte Hosts / IPs begrenzen. Die Hosts bzw. IPs sind der Fernseher (Netflix), das Smartphone, das Notebook und die Playstation eines Teenagers... ;-) Das Problem sind das Datenvolumen von nur 50 GByte des Vodafone GigaCube und der DSL-Anschluß mit ca. 2,5 MBit/s.

Vorgegangen bin ich dabei wie in diesem Thread beschrieben: https://forum.pfsense.org/index.php?topic=53790.0

Hierzu habe ich unter Firewall / Traffic Shaper / Limiters zwei Regeln erstellt: Christoph_Source und Christoph_Destination. Innerhalb der Regeln wurde die Bandbreite auf Testweise 2 MBit/s begrenzt:

(Zum Vergrößern der Bilder bitte anklicken)



Die Hosts /IPs, für die die Bandbreitenbegrenzung gilt, wurden unter Firewall / Aliases /Christoph zusammengefasst.



Unter Firewall / Rules / 10_100_MBit (die LAN-Schnittstelle an der die Hosts angeschlossen sind) erstellte ich die Regel "Christoph":



Leider funktoniert die Bandbreitenbegrenzung nicht. Die Hosts können nach wie vor die zur Verfügung stehende Bandbreite nutzen. Überprüft per DSL-Speedtest.

Der Gesamtaufbau sieht wie folgt aus:



Wo liegt der Fehler? Kann es so überhaupt funktionieren? Wenn nein, was wäre der richtige Weg? Bin - wie immer - dankbar für jeden Tipp und Trick.

In den Firewall-Rules kann man es sehen. Ich möchte bzw. muss die Freufunk-Router dem DSL-WAN zuordnen. Der Grund ist, dass Vodafone die Nutzung des Vodafone GigaCube für Freifunk untersagt. Allerdings weiss ich aktuell nicht, wie ich das am bestehen angehe... ;-)

Grüsse

Ralf
« Last Edit: September 15, 2017, 08:47:15 am by raaalf »

Offline Crunk_Bass

  • Jr. Member
  • **
  • Posts: 27
  • Karma: +2/-0
    • View Profile
Wie ist deine Fritz!Box konfiguriert?

Ich vermute, dass diese NAT betreibt.
Fall dies der Fall ist sind deine Regeln natürlich alle nutzlos.

Ich finde den Aufbau allgemein ein bisschen seltsam.
Welchen Grund hat es, dass die Clients nicht an pfSense sondern an der Fritz!Box dahinter hängen?

Offline raaalf

  • Newbie
  • *
  • Posts: 22
  • Karma: +0/-0
    • View Profile
Guten Abend Crunk Bass,

Du hast Recht. Die FRITZ!Box 7270 NATet aktuell zwischen 192.168.2.x und 192.168.178.x. Das kommt daher, dass ich die Umstellung auf die pfSense Schritt-für-Schritt vorantreibe. Zuerst war die Zusammenarbeit zwischen DSL und LTE vordringlich. Jetzt geht es um die Feinheiten.

Die FRITZ!Box vergab in der alten Konfiguration per DHCP den IP-Adressbereich 172.168.178.x. Um die FRITZ!Box im Modus "Internetzugang: Vorhandener Zugang per LAN" an der pfSense betreiben zu können, musste ich für das Interface 10_100_MBit - an dem ist die FRiTZ!Box angeschlossen - den DHCP-Server aktivieren und dessen Adressbereich, um keine Probleme mit zwei DHCP-Server im selben Netzwerksegment zu bekommen, sich von dem der FRITZ!Box unterscheiden.

Das/mein Problem ist also das NATen zwischen beiden Netzen durch die FRITZ!Box. Jetzt, da Du mich darauf hingewiesen hast, ist es für mich nachvollziehbar.

Ich werde den DHCP der FRITZ!Box abschalten und die IP-Adressevergabe durch die pfSense erledigen lassen. Dann sollte auch die Bandbreitenbegrenzung funktionieren? Ich habe gesehen, dass ich innerhalb des DHCP (unter Services/DHCP Server/10_100_MBIT) unter "DHCP Static Mappings for this Interface" sogar festlegen kann, über welches Gateway die jeweilige IP geroutet wird wenn eine "feste IP" vergeben wird. Das wäre die Lösung für mein Problem mit den Freifunk-Routern, oder?

Danke für Deinen Denkanstoß!

Grüsse

Ralf

Offline Marv21

  • Jr. Member
  • **
  • Posts: 82
  • Karma: +2/-0
    • View Profile
Alle Clients hinter Pfsense wäre schon mal gut.
Dann würde ich Fernseher usw. einfach den Zugriff auf den Cube komplett verbieten und nur noch über das FesteDSL ins Internet lassen.

Offline Crunk_Bass

  • Jr. Member
  • **
  • Posts: 27
  • Karma: +2/-0
    • View Profile
Sobald die Geräte direkt an pfSense hängen sollte das auch mit der Bandbreitenbegrenzung klappen.
Bei der Umstellung solltest du gleich auf ein nicht so weit verbreitetes Subnetz (z.B. 172.24.186.0/24) umsteigen, da du sonst später Probleme mit VPN Verbindungen bekommst.

Du darfst allerdings das Gateway unter den DHCP Einstellungen nicht mit den Gateways, die du in pfSense eingerichtet hast verwechseln.
Als Gateway bei DHCP kommt die IP von pfSense rein und das Gateway, welches pfSense für Traffic von dem Client verwenden soll musst du in den Firewallregeln unter den erweiterten Optionen festlegen.
Die Lösung für deinen Freifunk Router wäre dann eine Regel unter LAN die ungefähr so aussieht:

Protokoll: IPv4 *
Quelle: Freifunk_Router
Port: *
Ziel: *
Port: *
Gateway: DSL_DLink_unten

Offline raaalf

  • Newbie
  • *
  • Posts: 22
  • Karma: +0/-0
    • View Profile
Servus zusammen,

ich danke euch vielmals für die Hilfe und Tipps. Herzlichen Dank!

Die Umstellung muss noch bis zum übernächsten Wochenende warten, da ich sonst nicht genügend Zeit habe eventuelle Probleme beheben zu können.

Als nächstes Überlege ich mir eine WLAN-Karte in den für pfSense genutzten PC einzubauen und auf ein reines DSL-Modem mit Verbindungsaufbau über pfSense umzustellen. Alles aus einer Hand. Macht doch vieles deutlich einfacher.

Grüsse

Ralf

Offline hornetx11

  • Jr. Member
  • **
  • Posts: 60
  • Karma: +1/-0
    • View Profile
Moin,

da die WLAN Funktionen der Sense nicht gerade "toll" sind, nimm einen AP.

LG HornetX11
//Ein Optimist ist eine Person, der nicht alle Informationen zu Verfügung stehen ...
(John B. Priestley (1894-1984), engl. Schriftsteller)//

// Nur die paranoiden überleben
(Andrew Grove (1936 - 2016), Intel)//

Offline jahonix

  • Hero Member
  • *****
  • Posts: 2361
  • Karma: +138/-14
  • volunteer since 2006
    • View Profile
...eine WLAN-Karte in den für pfSense genutzten PC einzubauen...
So kann man Bandbreitenbegrenzung natürlich auch angehen.

FreeBSD als Basis der pfSense kann WLAN nicht gut und maximal bis 802.11n. Wenn Überhaupt.
Ein externer AP an einer sinnvollen Stelle platziert ist da um Längen besser geeignet.
Chris

The issue with IPv6 jokes is that almost no one understands them and no one is using them yet.

Offline raaalf

  • Newbie
  • *
  • Posts: 22
  • Karma: +0/-0
    • View Profile
Servus zusammen,

die Umstellung ist erfolgreich abgeschlossen. Der DHCP-Server der pfSense ist nun in Betrieb. Die Bandbreitenbegrenzung funktioniert wie gewünscht. Sehr gut.

Um die Freifunk-Router dem DSL-Gateway zuzuordnen erstellte ich eine entsprechende Firewall-Regel. Wie kann ich testen, dass die Freifunk-Router tatsächlich nur über das festgelegte Gateway kommunizieren? Meine Holzhammer-Methode: Smartphone mit Freifunk-Router verbinden, DSL-Speedtest auf dem Smartphone durchführen und dabei das Patchkabel zur FRITZ!Box (DSL) abziehen... Das muss doch eleganter gehen, oder?

Das Vorhaben eine WLAN-Karte unter pfSense zu betreiben lasse ich besser sein. Ich habe auch bei der Hardware-Kompatibilitätsliste gesehen, dass nur veraltete WLAN-Adapter unterstützt werden. So bleibt es bei der FRITZ!Box.

Nochmal ein Dankeschön an alle.

Grüsse

Ralf
« Last Edit: September 01, 2017, 07:40:18 am by raaalf »

Offline Crunk_Bass

  • Jr. Member
  • **
  • Posts: 27
  • Karma: +2/-0
    • View Profile
Danke für deine Rückmeldung.

Was willst du genau am Freifunk überprüfen?
Falls es um aktuell bestehende Verbindungen geht kannst du dir diese unter Diagnostics -> States aufzeigen lassen.
Dort einfach nach der IP des Freifunk Routers filtern.

Wenn du in der Firewall Regel als Gateway direkt das DSL Gateway ausgewählt hast und keine Gatewaygruppe dann wird auch kein Failover betrieben.

Offline raaalf

  • Newbie
  • *
  • Posts: 22
  • Karma: +0/-0
    • View Profile
Servus,

ich möchte prüfen, ob die Freifunk-Router tatsächlich nur über das DSL-Gateway kommunizieren. So wie es unter Diagnostic/States aussieht, wenn ich die IPs der Freifunk-Router filtere, ist alles in Ordnung.

Danke für die Info!

Grüsse

Ralf

Danke für deine Rückmeldung.

Was willst du genau am Freifunk überprüfen?
Falls es um aktuell bestehende Verbindungen geht kannst du dir diese unter Diagnostics -> States aufzeigen lassen.
Dort einfach nach der IP des Freifunk Routers filtern.

Wenn du in der Firewall Regel als Gateway direkt das DSL Gateway ausgewählt hast und keine Gatewaygruppe dann wird auch kein Failover betrieben.