pfSense, OpenVPN und Limiter

pfSense bietet mit Limiters eine Möglichkeit, die Bandbreite von Verbindungen zu beschränken. Im Rahmen eines Tests wurden Up- und Download-Limits auf ein Site-to-site-VPN auf Basis von OpenVPN gesetzt.

Ziel war es, die Bandbreite eines Offsite-Backups zu reglementieren, so dass dieses nicht den gesamten Anschluss belegt und andere Dienste blockiert. Beim Kunden wird eine 5 Mbit/s Standleitung auf Basis eines Telekom CompanyConnects eingesetzt. Das Backup wird an einen anderen Standort via SMB/CIFS kopiert und soll nicht mehr als 3 Mbit/s verwenden. Das VPN als auch die Firewall-Regeln waren bereits existent.

Nachfolgend eine exemplarische Konfiguration für das beschriebene Szenario:

Limiter anlegen

Zunächst werden zwei Limiter angelegt, einer für maximale Up- und einer für maximale Download-Bandbreite.

  • Unter „Firewall – Traffic Shaper“ auf „Limiters“ klicken.
  • Auf „+ New Limiter“ klicken.
  • Den Haken setzen bei „Enable limiter and its children“, einen Namen (z.B. LimitUpload) eingeben und bei „Bandwidth“ und „Bw type“ die gewünschte maximale Bandbreite eintragen.
  • Bei „Mask“ „Destination Adresses“ auswählen und abschließend auf „Save“ klicken.

pfsense - LimitersNun den Vorgang allerdings mit „Mask“ „Source Adresses“ wiederholen, um einen Limiter für den Download zu erstellen.

Limiters auf Firewall-Regeln anwenden

  • Auf „Firewall – Rules“ klicken und zu „OpenVPN“ wechseln.
  • Die Regel, die für SMB/CIFS bzw. Port 445/tcp (MS DS) zuständig ist, editieren.
  • Bei „Extra Options – Advanced Options“ auf „Display Advanced“ klicken.
  • Bei „In / Out pipe“ die zuvor erstellten Limiter auswählen, abchließend auf „Save“ klicken und die geänderte Regel(n) übernehmen.

pfSense - Firewall-Rule - In / Out pipeHinweis

Sind bereits Limiter in einer Regel konfiguriert und wird die Bandbreite geändert, so wirkt die Änderung nahezu sofort. Dies kann man z.B. gut unter „Status – Traffic Graph“ beobachten, sofern gerade entsprechender Verkehr vorhanden ist.

War bislang kein Limiter gesetzt und es ist gerade Verkehr vorhanden, so wirkt die Änderung erst, wenn die Verbindung getrennt und neu aufgebaut wird.

Quelle

Squidworks – PFSense 2.0 – Limiting users Upload and Download Speeds by Limiting Bandwidth.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.