theoberlin
Goto Top

Pfsense Traffic proiorisieren

Hallo zusammen,

heute wollte ich mit dem traffic shaper der PfSense dem Exchange Server ein Minumum an Bandbreite zusichern.

Leider finde ich hierzu keine Möglichkeiten. Hat jemand ein Tutorial etc.?

Bis jetzt habe ich nur Möglichkeiten gefunden andere Rechner generell runterzubremsen (limits) oder eben im Wizard VOIP oder andere applikationen zu priorisieren.

Folgende Situation:

- PfSense CARP Cluster
- Exchange sowie andere Dienste laufen über symmetrische Anbindung (50Mbit)
- Exchange Server soll in jedem Fall 5-10Mbit an Bandbreite zur Verfügung haben wenn ein Transfer stattfindet.

Hintergrund:

Im moment erhalten manche Mitarbeiter sporadisch alle paar Wochen den Hinweis, dass eine Mail verzögert wird. Da Parallel die Auslastung der Leitung sehr hoch war, führe ich das darauf zurück.

Das ist die Fehlermeldung:

Server at EMPFÄNGERIP returned '400 4.4.7 Message delayed'
29.06.2017 10:44:48 - Server at EMPFÄNGERIP returned '451 4.4.397 Error communicating with target host. -> 421 4.2.1 Unable to connect -> SocketTimedout: Socket error code 10060'

Den selben Fehler hatte ich vor einer Weile als Snort ein false positiv hatte. Hiermit hat es diesmal aber nichts zu tun.

lg
Theo

Content-Key: 342012

Url: https://administrator.de/contentid/342012

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: Pjordorf
Pjordorf 29.06.2017 um 16:00:37 Uhr
Goto Top
Hallo,

Zitat von @theoberlin:
Im moment erhalten manche Mitarbeiter
Immer die gleichen?

sporadisch alle paar Wochen den Hinweis, dass eine Mail verzögert wird.
Immer an den gleichen/selben Empfänger?
29.06.2017 10:44:48 - Server at EMPFÄNGERIP returned '451 4.4.397 Error communicating with target host. -> 421 4.2.1 Unable to connect -> SocketTimedout: Socket error code 10060'
Mal geschaut ob dein Exchange dann noch weitere Verbindungen aufbauen kann /darf wenn der mal weider mehr als 5000 Mails wegschicken muss?
Smarthost habt ihr wohl nicht, sondern direkt per DNS an die Maildomänen direkt Senden. Immer die gleiche Maildomäne oder IP welche nicht Antwortet bzw. wo dein Exchange versucht Kontakt mit aufzunehmen?

Wie ist denn dein Exchange in der Firewall eingestellt - wann sagt die "Du darfst jetzt nicht mehr - du musst warten" (Anzahl Verbindungen)?

Gruß,
Peter
Mitglied: theoberlin
theoberlin 29.06.2017 aktualisiert um 16:42:41 Uhr
Goto Top
Hallo Peter,

wir sind ein Unternehmen mit 50 Postfächern. So viel geht da nicht durch.
Die Mitarbeiter unterscheiden sich, die Empfänger ebenfalls. Es ist keine Regelmäßigkeit zu erkennen. Und wie gesagt in 2 Monaten vllt 4 mal vorgekommen.

Gleichzeitige Verbindungen habe ich ausgehend in der Firewall nicht beschränkt.

lg
Theo
Mitglied: 133417
133417 29.06.2017 aktualisiert um 16:54:29 Uhr
Goto Top
https://doc.pfsense.org/index.php/Limiters
Using Limiters for Bandwidth Guarantees
To guarantee a certain amount of bandwidth using Limiters instead of enforcing an upper limit, make four limiters as follows:

Bandwidth to guarantee upload
Bandwidth to guarantee download
Total bandwidth upload (less guaranteed above)
Total bandwidth download (less guaranteed above)
Ensure that the Mask to anything other than "none". It must be "none" for these to work properly.  

If the WAN has 8Mb down and 2Mb up, to guarantee 512Kb/s for service X create queues sized like so:

512 Kb/s
512 Kb/s
1536 Kb/s
7680 Kb/s
Then direct the guaranteed service traffic into the first two limiters, and everything else into the "total" limiters.  
Gruß
Mitglied: theoberlin
theoberlin 29.06.2017 aktualisiert um 18:19:29 Uhr
Goto Top
Hi Biber Baum,

Wenn ich das richtig verstehe führt das doch automatisch dazu, dass zwar der Service eine garantierte Bandbreite hat, aber diese eben auch nicht mehr für andere Dienste bereit steht.

Ich dachte eher an eine Priorisierung.
Sprich normalerweise stehen die 50Mbit vollständig zur Verfügung. Im Falle einer Übertragung des Exchange wird aber ein Wert X garantiert.
Idealerweise mehrstufig.
Beispiel: Exchange wird Bandbreite X garantiert. Server Y ebenfalls eine andere. Sollte Server Y zu hoch sein wird Bandbreite X dennoch garantiert. Und alle anderen eben noch weiter in der Bandbreite reduziert.

LG
Theo
Mitglied: 133417
Lösung 133417 29.06.2017 aktualisiert um 18:47:36 Uhr
Goto Top
Zitat von @theoberlin:
Wenn ich das richtig verstehe führt das doch automatisch dazu, dass zwar der Service eine garantierte Bandbreite hat, aber diese eben auch nicht mehr für andere Dienste bereit steht.
Nein das verstehst du falsch. Les mal
https://doc.pfsense.org/index.php/Traffic_Shaping_Guide

Lege einen Traffic-Shaper an, dann einen Queue in dem Shaper, dann legst in dem die Prio hoch, und zum Schluss legst du in den Firewall-Rules eine Regel an die den Traffic zu und vom Server erfasst und in der Eigenschaft der Regel setzt du den Queue auf dem gerade angelegten fest (Unter Advanced Options).
Mitglied: theoberlin
theoberlin 29.06.2017 um 18:58:12 Uhr
Goto Top
Alles klar danke dir ich lese mir die Seite mal durch.

LG
Theo
Mitglied: aqui
aqui 29.06.2017 um 19:07:10 Uhr
Goto Top
dass zwar der Service eine garantierte Bandbreite hat, aber diese eben auch nicht mehr für andere Dienste bereit steht.
Nein !
Die Reservierung tritt immer nur im Congestion Falle. Also wenn die Bandbreite über den garantierten Wert steigen sollte.
Bei geringer Last wird normal geforwardet.