Traffic Shaper - IP-Bereich

[bonkers]

Moin,

ich schaue mir OPNsense eben für ein LAN-Party Projekt als Firewall an.

Jetzt stehe ich leider etwas auf dem schlauch...  ich möchte den verfügbaren Download/Upload Traffic für die LAN Teilnehmer in dem IP-Bereich 192.168.168.50-192.168.168.200 limitieren, der Rest soll ohne Limitierung ins Internet gehen können

Jedem Client (192.168.168.50-192.168.168.200) soll maximal 2MBit/s im Download und 500KBit/s im Upload zur Verfügung stehen.

Ist dies so wie ich mir das Vorstelle überhaupt möglich?

[Oxygen61]

Hey hey,

Klar. Is sogar mega easy! 
Is auch alles hier beschrieben: https://docs.opnsense.org/manual/how-tos/shaper.html

Manchmal ist das alles zu abstrakt deshalb häng ich dir mal meine Traffic Shaping Einstellungen an den Post hier ran.
Ich hatte das für mein Captive Portal (WLAN Netzwerk) eingerichtet und mit 5 mbit/s Upload und Download Geschwindigkeit limitiert. Eigentlich kannst du das eins zu eins übernehmen und anpassen und dann ises schon fertsch. 

Source und Destination musst du deinem LAN Netz entsprechend anpassen. Das hatte ich jetzt mal raus genommen. Wichtig ist auch noch bei den Pipes der Unterschied zwischen Mask: Source oder Mask: Destination, je nachdem ob du vorhandenen Traffic aufteilen möchtest oder tatsächlich jeden Client in einem Netzbereich einschränken willst. Bei den Rules steht als Interface auf WAN, weil das bei mir der Zugang zum Internet ist.
Der Rest sollte klar sein. Wenn nicht einfach fragen

Schöne Grüße
Oxy

EDIT: Es ist auch möglich noch viel detailreicher zu limitieren, z.b. wenn du für diesen Netzbereich nur HTTPS oder ähnliches limitieren wolltest der Rest aber ruhig unlimitiert arbeiten darf. Dann kannst du mit Prot: TCP und Port: 443 die Regel noch weiter auf diesen Anwendungsfall einschränken.

[netranger]

Wichtig ist noch, dass wenn Dein Client z.B. am Interface LAN hängt, dann musst Du logischerweise auch LAN auswählen in den Rules. Im Howto steht überall das Beispiel WAN was mich eher verwirrt hat. Ausser das Interface an welchem die Clients hängen heisst bei Dir tatsächlich WAN, dann würde es passen

[Oxygen61]

Hey netranger,

ganz sicher, dass mit dem Interface nicht das Interface zum Upstream Gateway gemeint ist, also das WAN Interface?
Es wurmt mich grade nämlich ziemlich, dass es bei mir funktioniert obwohl ich anscheinend das Interface falsch ausgewählt habe. Komisch... Gibt zu der Option auch keine Beschreibung, was schade ist. (Das "i" ist grau)

Ich habs jetzt bei mir auch auf das richtige Interface gewechselt, aber ganz nachvollziehen kann ichs nicht.

EDIT: Okay zu früh gefreut... Jetzt geht es weder mit WAN noch mit WLAN.. zu Zeiten mit OPNsense Version 16.x ging es aber mal.. hmm.. ich restarte grade die Büchse.

Schöne Grüße,
Oxy

[Oxygen61]

Traffic Shaper funktioniert bei mir nicht mehr, egal ob als Interface WAN oder WLAN eingestellt wird.
Folgendes hab ich eingestellt und das ging mal früher:

Pipe:
_____
Enabled[yes]       5     Mbit/s   source   5 Mbps Limit Download   
Enabled[yes]       5     Mbit/s   source   5 Mbps Limit Upload

Rules:
_____
11   WAN   ip   any                           <privates WLAN Netz>/24   5 Mbps Limit Download   Download Rule   
21   WAN   ip   <privates WLAN Netz>/24   any                           5 Mbps Limit Upload        Upload Rule

Irgendwer eine Idee was ich übersehe? Beim Speedtest auf diversen Seiten komme ich auf über 32 Mbit/s.

EDIT:
Hab Testweise auch mal versucht über "advanced" die Directions näher zu definieren:
Für Download: Direction: "in" vom Interface 1 (WAN) zu Interface 2 (WLAN)
Für Upload: Direction: "out" vom Interface 1 (WLAN) zu Interface 2 (WAN)
Source und Destination Adressen auch mal testweise auf "any" gesetzt.

--> KEIN Erfolg. Da klappt irgendwas grundsätzlich nicht mehr. :-/

EDIT 2:
Hab mir nochmal den Beitrag in der OPNsense Wiki angeschaut und da steht ganz eindeutig um das LAN zu Traffic shapen:
interface   WAN    (Select the interface connected to the internet)

--> Nochmal alles laut Anleitung neu gemacht und immernoch KEIN Erfolg.

[netranger]

Huhu,

Hmm ist Deine Firewall aktuell, sprich 17.1.6?

Also habs grad nochmal eingeschaltet zum testen und bei mir läuft es mit einer Pipe und einer Rule:

Pipe:
10   Mbit/s    <Maske leer!>    PipeDown-10Mbps

Rule:
21   WLAN   ip   any   192.168...(IP vom PC)   PipeDown-10Mbps   ShapeDown_PC

Speedtest zeigt 9.6 Mbit, kommt also hin. Ursprünglich hatte ich es auch auf WAN gestellt aber das hat dann nicht funktioniert.

Cheers,
netranger

[franco]

Hallo zusammen,

Klingt ein bisschen nach dem alten Problem Multi-WAN (oder zumindest Policy Routing Regeln) und dem standardmäßig abgeschalteten Shared Forwarding Feature (Firewall: Settings: Advanced).


Grüsse
Franco

[Oxygen61]

Hallo zusammen,

- also folgendes, ich nutze:
OPNsense 17.1.6-amd64
FreeBSD 11.0-RELEASE-p8
OpenSSL 1.0.2k 26 Jan 2017

- Policy Based routing nutze ich nicht
- Es ist auch keine Multi WAN Umgebung an der Firewall angeschlossen
- Shared Forwarding Feature ob angeschaltet oder ausgeschaltet kein Unterschied

Grade auch testweise mal die Umsetzung wie bei @netranger ausprobiert aber auch ohne Erfolg.
(Weder mit dem Interface WLAN noch WAN).. Maske hatte ich auch frei gelassen dieses mal.
Weiterhin habe ich dazwischen "Reset" genutzt und auch den "ipfw" Traffic Shaper Service immer neugestartet.

Noch eine Idee? :/
Ich hab mal die beiden Fenster angehangen an den Post.

[netranger]

Was passiert wenn Du in Rule 10 nur Deinen Client nimmst, also ohne /24 am Ende und das Interface nochmal auf WLAN stellst? Ansonsten sehe ich auch keinen Unterschied zu meinem Setup.

Cheers,

[Oxygen61]

Hey hey,

ja das ist schon ziemlich merkwürdig. 
Theoretisch sollte, dass ja keinen Unterschied machen, weil ich im richtigen Subnetz bin, aber man weiß ja nie.
Werde das dann am Montag mal ausprobieren und berichten.
Ich werde auch zusätzlich Zuhause mal Privat auf meiner Büchse morgen früh das Traffic Shaping konfigurieren und mal schauen, ob das Problem nicht doch etwas tiefgreifender ist, falls es bei mir Zuhause klappen sollte, aber auf Arbeit weiterhin nicht.

Trotzdem danke erst einmal für den Tipp. Was mich halt echt am meisten nervt ist, dass es damals zu 16.x Zeiten mal klappte und ich einfach nich mehr drauf geachtet hatte. Jetzt plötzlich fällt mir auf, dass es nicht mehr geht. Komisch komisch

Schöne Grüße,
Oxy

[Oxygen61]

Hey Leute,

nach langem probieren, hab ich herausgefunden woran es lag.
Ich hab alles so gelassen wie beim aller ersten Post bei diesem Beitrag.
Das Interface also auf WAN gestellt (Richtung Internet) und NICHT WLAN.

Der Grund warum anscheinend nicht limitiert wird ist folgender: "Captive Portal"
Mit aktiviertem Captive Portal wird der Traffic Shaper ignoriert. Schalte ich das Captive Portal aus und mache den Test, wird auf 4,8 Mbit/s limitiert (5 Mbit/s wurde eingestellt), was also dann passen würde.

@Franco eine Idee was man da machen könnte?

Schöne Grüße
Oxy

[Stephan]

Hi,

ist das nach wie vor aktuell?

Gruß,

Stephan

[Oxygen61]

Hey Stephan,

hab leider keine Möglichkeit mehr zu schauen ob das Problem noch besteht.
Da mittlerweile/zwischendurch aber diverse Upgrades und auch Updates dazwischenliegen denke ich, dass das Problem nicht mehr besteht. Konntest du testen, ob der Fehler noch Bestand hat?

Schöne Grüße
Oxy

[Stephan]

Hi Oxy,

ne - getestet nicht. Interessiert mich allerdings, weil wir überlegen, das captive Portal zu integrieren und den traffic shaper aktiv haben.

Grüße,

Stephan

[Oxygen61]

hi hi,

notfalls kann man Bandbreiten-Limitierungen auch über den WLAN Controller einstellen und zum Teil auch am Switch, an welchen die AP's angeschlossen sind.

Was ist wenn du Testweise die OPNsense in ein seperates VLAN steckst und dir somit eine Testumgebung aufbaust?
So läufst du nicht Gefahr das Produktivnetz zu stören, kannst ein Captive Portal als Testumgebung aufbauen und den Traffic Shaper ausprobieren. Sollte es immer noch nicht funktionieren, kannst du immer noch ein Ticket in Github aufmachen oder testweise pfSense einsetzen.

Schöne Grüße
Oxy