pfSense, OpenVPN und Limiter

pfSense bietet mit Limiters eine Möglichkeit, die Bandbreite von Verbindungen zu beschränken. Im Rahmen eines Tests wurden Up- und Download-Limits auf ein Site-to-site-VPN auf Basis von OpenVPN gesetzt.

Ziel war es, die Bandbreite eines Offsite-Backups zu reglementieren, so dass dieses nicht den gesamten Anschluss belegt und andere Dienste blockiert. Beim Kunden wird eine 5 Mbit/s Standleitung auf Basis eines Telekom CompanyConnects eingesetzt. Das Backup wird an einen anderen Standort via SMB/CIFS kopiert und soll nicht mehr als 3 Mbit/s verwenden. Das VPN als auch die Firewall-Regeln waren bereits existent.

Nachfolgend eine exemplarische Konfiguration für das beschriebene Szenario:

Limiter anlegen

Zunächst werden zwei Limiter angelegt, einer für maximale Up- und einer für maximale Download-Bandbreite.

  • Unter “Firewall – Traffic Shaper” auf “Limiters” klicken.
  • Auf “+ New Limiter” klicken.
  • Den Haken setzen bei “Enable limiter and its children”, einen Namen (z.B. LimitUpload) eingeben und bei “Bandwidth” und “Bw type” die gewünschte maximale Bandbreite eintragen.
  • Bei “Mask” “Destination Adresses” auswählen und abschließend auf “Save” klicken.

pfsense - LimitersNun den Vorgang allerdings mit “Mask” “Source Adresses” wiederholen, um einen Limiter für den Download zu erstellen.

Limiters auf Firewall-Regeln anwenden

  • Auf “Firewall – Rules” klicken und zu “OpenVPN” wechseln.
  • Die Regel, die für SMB/CIFS bzw. Port 445/tcp (MS DS) zuständig ist, editieren.
  • Bei “Extra Options – Advanced Options” auf “Display Advanced” klicken.
  • Bei “In / Out pipe” die zuvor erstellten Limiter auswählen, abchließend auf “Save” klicken und die geänderte Regel(n) übernehmen.

pfSense - Firewall-Rule - In / Out pipeHinweis

Sind bereits Limiter in einer Regel konfiguriert und wird die Bandbreite geändert, so wirkt die Änderung nahezu sofort. Dies kann man z.B. gut unter “Status – Traffic Graph” beobachten, sofern gerade entsprechender Verkehr vorhanden ist.

War bislang kein Limiter gesetzt und es ist gerade Verkehr vorhanden, so wirkt die Änderung erst, wenn die Verbindung getrennt und neu aufgebaut wird.

Quelle

Squidworks – PFSense 2.0 – Limiting users Upload and Download Speeds by Limiting Bandwidth.

2 Kommentare

  • Hallo, es gibt ja einige Tutos zum Thema TrafficShaping mit pfsense, aber dies hier ist das klarste.
    Dennoch gelingt es mir nicht, es zum funktionieren zu bringen.
    Ich habe zwei Limiter für Up-Download mit je 1 MB/s angelegt und diese, wie gezeigt in eine WAN-Regel eingefügt, diese an den Anfang der Regeln gezogen. Damit soll zunächst der Download zu der in der Regel definierten lokalen IP limitiert werden.
    Das tut es aber nicht, die benutzte Bandbreite bleibt stets gleich hoch.
    Ich verwende NAT, VIPs, CARP, sitze auf einer GB-Anbindung, pfsense ist CE 2.6.
    Irgendend etwas mache ich falsch.
    Hast Du einen Vorschlag?
    Fred

  • Die zu limitierende Verbindung mal getrennt und neu aufgebaut oder gar die pfSense mal neu gestartet?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.