|
Bandwidth Limiter blokuje także wewnętrzny ruch
|
| Kordolio |
Dodano 17-04-2014 14:45
|
User
Posty: 18
Dołączył: 20/06/2013 10:16
|
Witam!
Mam Cisco E3000 i Tomato Firmware 1.28.0000 MIPSR2-110 K26 USB Big-VPN.
Zrobiłem Virtual Wireless, ustawiłem dla niej Bandwidth Limitera, wszystko śmiga świetnie.
Tylko ostatnio okazało się, że BL limituje nie tylko ruch internetowy, a cały ruch, także wewnątrz sieci, między podsieciami lokalnymi.
Czy BL nie powinien działać jedynie na ruch przez WAN?
Będę wdzięczny za pomoc.
Pozdrawiam |
| |
|
|
| shibby |
Dodano 17-04-2014 15:43
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
czy dla rutera ruch między 192.168.1.0/24 a 214.0.1.0/24 jest czymś innym niż ruch między 192.168.1.0/24 a 10.0.0.0/24?
Dla routera komunikacja między tymi dwoma przykładami jest taka sama - jest to ruch między podsieciami a więc ma być limitowany.
Najprościej by to ominąć wystarczy dodać sobie do skryptu firewall czy połączenia między naszymi podsieciami markował inaczej. Dla naszego przykładu będzie to:
Cytat iptables -t mangle -A POSTROUTING -s 192.168.1.0/255.255.255.0 -d 10.0.0.0/255.255.255.0 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -s 192.168.1.0/255.255.255.0 -d 10.0.0.0/255.255.255.0 -j MARK --set-mark 1
iptables -t mangle -A POSTROUTING -s 10.0.0.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -s 10.0.0.0/255.255.255.0 -d 192.168.1.0/255.255.255.0 -j MARK --set-mark 1
dla mark 1 nie ma stworzonej klasy tc a więc ruch będzie leciał pełną parą.
Podobnie można znieść limit do konkretnego serwera np. łącze mamy limitowane ale chcemy by np. google drive leciało pełną parą. Wystarczy zamiast 10.0.0.0 w pisać ip serwera google drive i po sprawie.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| Kordolio |
Dodano 17-04-2014 20:39
|
User
Posty: 18
Dołączył: 20/06/2013 10:16
|
No niestety, po wpisaniu prędkość nadal jest taka, jaka jest. Podsieci mam 192.168.1.x oraz 192.168.10.x, rozumiem, że wpisuję adekwatnie, ale niewiele to pomogło.
Dodam może, że głównie interesuje mnie ruch z podsieci 192.168.10.x do serwerka qnapa 192.168.1.10 i jego zasobów po http. |
| |
|
|
| shibby |
Dodano 17-04-2014 21:00
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
ale przeładowałeś usługę firewalla (albo zrestartowałeś router) po wpisaniu tych linijek? Bo sami ich wpisanie so skryptu nic nie daje.
Połączony z 18 kwiecień 2014 07:56:56:
jedna jeszcze uwaga. Ponieważ jest to ruch między podsieciami to mamy do czynienia z routingiem a nie ruchem wewnątrz LAN. Routing więc spowalnia prędkość pakietów tak jak to ma miejsce w przypadku routingu pakietów między WAN a LAN. Tak więc prędkości między podsieciami na pewno nie będą takie jak po LANie a bardziej zbliżone do wydolności routera na WANie.
Przykładowo taki RT-N16 między podsieciami wyciągnie max jakieś 17-20MB/s a nie 120MB/s pomimo, że porty są gigabitowe.
Edytowany przez shibby dnia 18-04-2014 07:56
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| Kordolio |
Dodano 21-04-2014 21:17
|
User
Posty: 18
Dołączył: 20/06/2013 10:16
|
No niestety, wszystko jest tak wolne, że nawet przeglądanie filmów na lokalnym qnapie jest niemożliwe.
Bez sensu, jeśli nie można korzystać z wydajności sieci stosując wirtualne wirelesy.
No chyba, że jest jednak jakieś sensowne rozwiązanie, bo aż wierzyć mi się nie chce, że nie można między lokalnymi podsieciami mieć pełnej wydajności. W końcu sama idea podsieci nie jest po to, żeby zmniejszać prędkość, tylko żeby zabezpieczać ruch. |
| |
|
|
| shibby |
Dodano 21-04-2014 21:39
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
procesor na więcej nie pozwala. Różne podsieci = routing a to powoduje spore zaangażowanie routera w przekazanie takiego pakietu. W ruchu LANowych router nie bierze udziału tylko switch - prawda?
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| Maniek91PL |
Dodano 22-04-2014 23:03
|
Maxi User
Posty: 731
Dołączył: 29/04/2013 21:44
|
ja używam skryptu robsona i wszystko działa, limituje mi ładnie ruch do wan'a
Zaś w sieci lokalnej bez limitu (czyli tyle ile wyciągnie mało wydajny procesor na moim urządzeniu)
skrypt oczywiście dodany do firewall'a
Asus RT-AC3200
Rocket M5
APC BACK-UPS RS 1200
Mini Itx ASUS Q87T+ i7-4770S
Alienware m15
Vu+ Solo2
|
| |
|
|
| Kordolio |
Dodano 23-04-2014 07:41
|
User
Posty: 18
Dołączył: 20/06/2013 10:16
|
A co to za skrypt? Możesz go udostępnić? |
| |
|
|
| Maniek91PL |
Dodano 23-04-2014 17:20
|
Maxi User
Posty: 731
Dołączył: 29/04/2013 21:44
|
tak jest cały skrypt (teraz mam troszkę wiecej ip dodanych) tutaj na forum ,bo ekipa mi pomagała go dostosować pod siebie 
cały temat tutaj : https://openlinksys.info/forum/viewthread.php?thread_id=16843&highlight=dzie%F1%2Fnoc&rowstart=0
Asus RT-AC3200
Rocket M5
APC BACK-UPS RS 1200
Mini Itx ASUS Q87T+ i7-4770S
Alienware m15
Vu+ Solo2
|
| |
|
|
| Kordolio |
Dodano 23-04-2014 17:41
|
User
Posty: 18
Dołączył: 20/06/2013 10:16
|
Ło kurcze. I to ma mi pomóc? Przecież to jest zupełnie inny problem... |
| |
|
|
| Maniek91PL |
Dodano 23-04-2014 20:14
|
Maxi User
Posty: 731
Dołączył: 29/04/2013 21:44
|
użyj skryptu robsona a tam możesz ustawić co ci się podoba 
Asus RT-AC3200
Rocket M5
APC BACK-UPS RS 1200
Mini Itx ASUS Q87T+ i7-4770S
Alienware m15
Vu+ Solo2
|
| |
|
|
| Kordolio |
Dodano 24-04-2014 07:01
|
User
Posty: 18
Dołączył: 20/06/2013 10:16
|
Którego? Przecież tam jest ich kilka wersji i z tego i żadna nie dotyczy mojego problemu... |
| |
|
|
| shibby |
Dodano 24-04-2014 07:05
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
maniek kolega nie ma problemu z limitowanej neta tylko z limitowanej przez bw limiter połączeń między vlanami np nr0 a br1. takiego scenariusza generator skryptów nawet nie zaklada
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| Kordolio |
Dodano 24-04-2014 07:35
|
User
Posty: 18
Dołączył: 20/06/2013 10:16
|
No właśnie... Skoro wspominasz o VLANach... bo jeszcze jest nadzieja, że może coś nie tak ustawiłem.
VLANa żadnego nie dodawałem, dodałem tylko Virtual Wirelesa. No i oczywiście w LAN podsieć.
Tak więc sieć LAN mam jako br0, tę podsieć irtual Wireless br1.
W Advanced właśnie w VLAN w sekcji Wireless mam Bridge wl0.1 to LAN1(br1).
A i chyba ważne: w VLAN na liście VLAN mam tylko LAN(br0) i WAN.
Prawidłowo? |
| |
|
|
| kebas |
Dodano 25-04-2014 14:30
|
User
Posty: 35
Dołączył: 21/04/2007 18:39
|
Też miałem problem z ograniczeniem prędkości przez BWLimitera. Dokładnie chodziło o sambę na tomato - transfer wynosił tyle, co wskazany w BWlimiter, ale już nie pamiętam czy dla wszystkich vlan-ów.
Asus RT-N16 + tomato-K26USB-1.28.RT-N5x-MIPSR2-130-AIO
|
| |
|
|
| shibby |
Dodano 25-04-2014 14:56
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
to trochę inna rzecz. Samba domyślnie działa tylko na br0. Skoro więc obwoływałeś się z np. br1 do samby na br0 to nic dziwnego, że ci ograniczał. Tu rozwiązania są dwa:
- zastosować powyższe regułki
- zmodyfikować konfig samby by "gadała" na obu interfejsach
W przyszłości pomyślę nad opcją wyboru w GUI na jakich vlanach ma słuchać.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| Kordolio |
Dodano 15-03-2015 19:16
|
User
Posty: 18
Dołączył: 20/06/2013 10:16
|
Witam!
Jeszcze jedno pytanie: oddzieliłem te podsieci od siebie i zabroniłem jednej kontaktować się z drugą poprzez następujący wpis:
iptables -I FORWARD -i br1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j DROP
Czy istnieje możliwość, żebym do tego wpisu wprowadził wyjątek pozwalając podsieci br1 na kontakt jedynie z serwerem o określonym adresie ip i tylko poprzez http? |
| |
|
|
| shibby |
Dodano 15-03-2015 19:22
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
a po co tak kombinować? Przecież domyślnie w tomato podsieci są odseparowane od siebie co oznacza, że domyslna polityka nie pozwala kontaktować się hostom między podsieciami.
Do wyjątków od polityki domyślnej służy panel LAN Access w podmenu Advanced. Tam możesz dodawać widoczność między hostami w podsieciach.
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
|
| Kordolio |
Dodano 16-03-2015 18:10
|
User
Posty: 18
Dołączył: 20/06/2013 10:16
|
Kombinowaniem bym tego nie nazwał :-)
Powód jest prosty: wbrew temu, co Pan pisze, komputery z jednej podsieci widzą te z drugiej, łączą się z nimi i jest pełna komunikacja. I to w tomato Pańskiej produkcji, żeby było śmieszniej :-)
A takowej bym nie chciał mieć. Chciałbym, żeby jedna podsieć WLAN nie miała żadnego kontaktu z LAN, oprócz dostępu do stron http jednego NASa w tym LANie. |
| |
|
|
| shibby |
Dodano 16-03-2015 18:32
|
SysOp
Posty: 17110
Dołączył: 15/01/2009 20:30
|
mam wiele sieci gdzie stosuję VLANy na moim tomato i to w naprawdę zaawansowanych konfiguracjach. Największa sieć postawiona na RT-N16 ma 4 VLANy i żadna z sieci się nie widzi i tu z pomocą przychodzi właśnie LAN Access.
Jeżeli tobie widzą się vlany to znaczy, że źle je skonfigurowałeś lub masz błąd skryptu iptables i nie wszystkie reguły się załadowały. Kolejne wytłumaczenie to bardzo dawno robione czyszczenie nvram.
Jeszcze raz powtórzę: domyślna polityka zabrania widoczności podsieci między VLANami.
Pokaż screeny z zakładek:
- basic-network
- advanced-vlan
- advanced-lan acess
- port forwarding
Pozdrawiam
Router: Unifi Cloud Gateway Max
Switch: Netgear MS510TXPP
Switch: Unifi USW-Flex-Mini - szt. 2
Wi-Fi: Unifi U6-Lite - szt. 2
Proxmox VE: i5-13400T, 64GB RAM, 2x 512GB NVMe, 3x 2TB SSD, Intel X710-DA2 SFP+
VM #1: Synology SA6400
VM #2: Debian, WWW
VM #3: Home Assistant OS
|
| |
|
' target='_blank'>Link
