Wie richtet man einen Traffic Shaper in OPNsense ein?

Veröffentlicht am: 25 November 2024

.

15 Minuten Lesezeit

.

Für die englische version

Traffic Shaping, auch bekannt als Packet Shaping, ist eine Bandbreitenmanagement-Strategie, die den Fluss bestimmter Netzwerkpakete verzögert, um die Netzwerkleistung für Anwendungen mit höherer Priorität sicherzustellen. Es wird allgemein verwendet, um sicherzustellen, dass geschäftsbezogener Netzwerkverkehr ein hohes Serviceniveau erhält. Durch das Verzögern einiger Pakete kann Traffic Shaping die Leistung verbessern oder sicherstellen, die Latenz reduzieren oder die verfügbare Bandbreite für kritische Anwendungen erhöhen.

Aufgrund begrenzter Netzwerkressourcen ist Traffic Shaping eine unverzichtbare Funktion für eine Netzwerkfirewall, um die Zustellung zeitkritischer Daten und die Leistung kritischer Anwendungen sicherzustellen. Es ist eine leistungsstarke Methode zur Verteidigung gegen verteilte Denial-of-Service-(DDoS)-Angriffe und zur Sicherstellung der Servicequalität. Es schützt Ihre Netzwerke vor Netzwerküberlastung, schränkt missbräuchliche Clients ein und verhindert Cyberangriffe.

Sie müssen möglicherweise die Internetbandbreite für einige Benutzer begrenzen, während Sie einer geschäftskritischen Anwendung wie Voice-over-IP (VoIP), die besonders latenzempfindlich ist, die maximale Bandbreite zur Verfügung stellen.

OPNsense, die eine der besten Open-Source-Firewalls ist, verfügt über eine äußerst flexible und zuverlässige Traffic-Shaping-Funktion. Die Shaping-Regeln werden getrennt von den Firewall-Regeln und anderen Konfigurationen behandelt.

Best Practice

Zusätzlich zu seinen Traffic-Shaping-Funktionen bietet OPNsense auch Next-Generation-Firewall-Funktionen wie Webkontrolle und Anwendungssteuerung. Dies wird durch ein externes Tool namens Zenarmor bereitgestellt.

Das Zenarmor NGFW-Plugin für OPNsense ist eines der beliebtesten OPNsense-Plugins und ermöglicht es Ihnen, Ihre Firewall in Sekundenschnelle auf eine Next-Generation-Firewall aufzurüsten. NG Firewalls ermöglichen es Ihnen, modernen Cyberangriffen zu begegnen, die jeden Tag raffinierter werden.

Einige der Funktionen sind Layer-7-Anwendungs-/Benutzer-bewusstes Blockieren, granulare Filterrichtlinien, kommerzielles Webfiltering mit cloudbasierter, KI-gestützter Bedrohungsintelligenz, Kindersicherung und die besten Netzwerk-Analysen und -Berichte der Branche.

In diesem Tutorial erklären wir die Traffic-Shaping-Funktion von OPNsense und wie Sie den Traffic-Shaper in Ihrer OPNsense-Firewall für die folgenden Fälle konfigurieren können:

• Reservierung von dedizierter Bandbreite für Echtzeitverkehr, wie VoIP
• Gleichmäßige Verteilung der Internetbandbreite unter den Clients
• Priorisierung kritischer Anwendungen
• Verkehr basierend auf der Netzwerkschnittstelle in OPNsense formen

Was ist der Traffic Shaper in OPNsense?

OPNsense Traffic Shaping ist eine sehr nützliche Lösung zur Priorisierung des Datenverkehrs und zur Begrenzung der Bandbreite. Außerdem kann es mit anderen Funktionen wie einem Captive Portal kombiniert werden.

Der OPNsense Traffic Shaper wird mit pipes, queues und entsprechenden rules konfiguriert:

• Rohre: Die Rohre werden verwendet, um die erlaubte Bandbreite festzulegen.

• Warteschlangen: Die Warteschlangen setzen ein Gewicht innerhalb des Rohrs. Der Datenverkehr kann priorisiert werden, indem Warteschlangen erstellt und ihnen Gewichte zugewiesen werden. Mit anderen Worten, wenn die insgesamt verfügbare Bandbreite begrenzt ist, können Anwendungen mit höherem Gewicht mehr Bandbreite verbrauchen als andere.

• Regeln: Die Regeln wenden das Shaping auf einen bestimmten Paketfluss an.

Bandbreitenbeschränkungen können basierend auf den folgenden Kriterien festgelegt werden:

• Schnittstelle(s),

• IP-Quelle und -Ziel,

• Verkehrsrichtung (ein/aus), und

• Portnummern (application).

Die Traffic-Shaping-Funktion von OPNsense ermöglicht es Ihnen, die verfügbare Bandbreite gleichmäßig auf alle Benutzer zu verteilen, um jederzeit eine Spitzenleistung zu gewährleisten.

Wie funktioniert der Traffic Shaper in OPNsense?

Der OPNsense Traffic Shaper verwendet dummynet und IPFW, um eine zuverlässige Lösung mit einer geringen CPU-Belastung zu bieten.

Dummynet klassifiziert zuerst die Pakete und teilt sie in Flüsse auf, indem es jedes Übereinstimmungsmuster verwendet, das in ipfw-Regeln verwendet werden kann. Je nach lokalen Richtlinien kann ein Fluss Pakete für einen bestimmten Protokolltyp, Pakete für ein gesamtes Subnetz, Pakete von/zu einem bestimmten Host, Pakete für eine einzelne TCP-Verbindung und so weiter enthalten.

Pakete aus demselben Fluss werden dann an eines der folgenden Objekte weitergeleitet, die Verkehrsregeln anwenden:

• Pipe: Ein Pipe simuliert eine Verbindung mit der angegebenen Bandbreite, Warteschlangenlänge, Ausbreitungsverzögerung und Paketverlustquote. Wenn Netzwerkpakete den Klassifizierer verlassen, werden sie vor der Pipe in eine Warteschlange gestellt und dann basierend auf den Parametern der Pipe in die Pipe übertragen.

• Warteschlange: Eine Warteschlange ist eine Abstraktion, die verwendet wird, um die WF2Q+ (Worstcase Fair Weighted Fair Queueing) Richtlinie zu implementieren. Jeder Fluss wird von der Warteschlange ein Gewicht und ein Referenzrohr zugewiesen. Alle zurückgestauten Flüsse, die mit demselben Rohr verbunden sind, teilen sich die Bandbreite des Rohrs proportional zu ihren Gewichten.

important

Weights sind keine Prioritäten; ein Fluss mit einem niedrigeren Gewicht erhält dennoch seinen Anteil an der Bandbreite, selbst wenn ein Fluss mit einem höheren Gewicht dauerhaft zurückgestaut ist.

tipp

Pipes können verwendet werden, um harte limits festzulegen, wie viel Bandbreite ein Fluss nutzen kann, während Queues verwendet werden können, um zu bestimmen, wie verschiedene Flüsse die verfügbare Bandbreite share.

Sie können die Formungsregeln auf der Seite rules des Traffic Shapers definieren.

Wie man den Status oder die Statistiken der Verkehrsformung in OPNsense anzeigt?

Um zu sehen, ob der Traffic Shaper ordnungsgemäß funktioniert oder nicht, navigieren Sie zu Firewall > Shaper > Status.

Auf der Seite Status des Traffic Shapers können Sie die folgenden Details einsehen:

• konfigurierte Pipes, Warteschlangen und Regeln.

• die Menge des Verkehrs, die seit dem letzten Neustart des Dienstes durch sie hindurchgegangen ist.

• der Zeitstempel, wann das passiert ist.

Abbildung 1. Anzeigen des Traffic Shaping-Status in OPNsense

Die Seite "Traffic Shaping Status" bietet auch die folgenden Optionen:

• Aktive Flows anzeigen: Sie können auch die Details der aktiven Flows anzeigen, indem Sie das Kästchen Show active flows aktivieren; denken Sie daran, Ihre Ansicht nach diesen Änderungen zu aktualisieren.

• Regeln anzeigen: Da ipfw Daten auf Regelbasis verfolgt, können Sie Regeln aktivieren, indem Sie das Kontrollkästchen Show rules aktivieren, um Fehlkonfigurationen leichter zu erkennen.

Wie reserviert man dedizierte Bandbreite für Echtzeitverkehr?

Nehmen wir an, Sie sind Administrator eines Unternehmensnetzwerks, das durch eine OPNsense-Firewall geschützt ist. Allerdings beschweren sich Ihre Benutzer über den VoIP-Dienst. Nach einer Untersuchung haben Sie festgestellt, dass es zwischen dem Hauptbüro und dem entfernten Rechenzentrum, in dem der VoIP/SIP-Server gehostet wird, zu SIP-Paketverlust und Latenz kommt. Um dieses Problem zu lösen, haben Sie beschlossen, eine dedizierte Bandbreite für VoIP-Verkehr zu reservieren. Ihre Anforderungen in diesem Fall sind wie folgt:

• Die WAN-Verbindung des HQ-Büros hat eine Download-Bandbreite von 20 Mbps und eine Upload-Bandbreite von 2 Mbps.

• Das HQ-Büro hat 10 unkomprimierte Sprachkanäle mit 64 kbps, was zu einer Gesamtbandbreite von 640 kbps führt.

• Das HQ-LAN verwendet 10.10.10.0/24 IP-Adressen.

• Die IP-Adresse des VoIP/SIP-Servers lautet 22.33.44.55.

Sie können ganz einfach dedizierte Bandbreite für VoIP-Verkehr reservieren, indem Sie die nächsten beiden Hauptschritte befolgen:

1. Erstellen von Upload- und Download-Pipes

2. Erstellen von Traffic-Shaping-Regeln

Diese Schritte werden in den folgenden Abschnitten kurz erklärt.

1. Wie man Upload- und Download-Pipes erstellt

Sie müssen die nächsten 4 Pipes erstellen, die unten angegeben sind:

• Pipe für VoIP-Verkehrs-Upload, der an den VoIP/SIP-Server mit einer Begrenzung von 640 kbps gerichtet ist.

• Leitung für den VoIP-Verkehrsdownload, der vom VoIP/SIP-Server empfangen wird, mit einer Begrenzung von 640 kbps.

• Leitung für gesamten Upload-Verkehr außer VoIP mit 2048-640= 1.984 kbps Limit.

• Leitung für gesamten Download-Verkehr außer VoIP mit 20480-640= 19.840 kbps Limit.

So erstellen Sie eine Pipe, um Upload-Bandbreite für VoIP-Verkehr zu reservieren

Sie können eine Pipe hinzufügen, um Upload-Bandbreite für VoIP-Verkehr zu reservieren, indem Sie die folgenden Schritte ausführen.

1. Navigieren Sie zu Firewall → Shaper → Pipes in Ihrer OPNsense-Firewall-Weboberfläche.

   

   Abbildung 2. Erstellen einer Traffic Shaper Pipe in OPNsense

2. Klicken Sie auf das + in der unteren rechten Ecke des Formulars, um ein Pipe für den VoIP-Upload zu erstellen.

3. Aktivieren Sie es, indem Sie das Kontrollkästchen anklicken. Damit diese Pipe und ihre zugehörigen Warteschlangen und Regeln aktiviert werden.

4. Setzen Sie die Bandwidth auf 640, das wird die Gesamtdatenrate für dieses Rohr sein.

5. Setzen Sie die Bandwidth Metric auf kbit/s

6. Lassen Sie die Mask als none, da wir eine Leitung mit fester Bandbreite erstellen werden.

7. Geben Sie eine Description wie 640Kbps_VoIP_upload ein.

8. Klicken Sie auf Save.

   

   Abbildung 3. Erstellen einer Pipe für die Reservierung von 640 Kbps VoIP-Upload-Bandbreite

So erstellen Sie eine Pipe, um Download-Bandbreite für VoIP-Verkehr zu reservieren

Sie können eine Pipe hinzufügen, um die Download-Bandbreite für VoIP-Verkehr zu reservieren, indem Sie die folgenden Schritte ausführen.

1. Navigieren Sie zu Firewall → Shaper → Pipes in Ihrer OPNsense-Firewall-Weboberfläche.

2. Klicken Sie auf das + in der unteren rechten Ecke des Formulars, um eine Pipe für den VoIP-Download zu erstellen.

3. Aktivieren Sie es, indem Sie das Kontrollkästchen anklicken.

4. Setzen Sie die Bandwidth auf 640.

5. Setzen Sie die Bandwidth Metric auf kbit/s.

6. Lassen Sie die Mask auf none.

7. Geben Sie eine Description wie 640Kbps_VoIP_download ein.

8. Klicken Sie auf Save.

   

   Abbildung 4. Erstellen eines Pipes zur Reservierung von 640 Kbps VoIP-Download-Bandbreite

So erstellen Sie eine Pipe, um die Upload-Bandbreite für allen anderen Verkehr außer VoIP zu begrenzen

Sie können eine Pipe hinzufügen, um die Upload-Bandbreite für allen anderen Verkehr außer VoIP zu begrenzen, indem Sie die folgenden Schritte ausführen.

1. Navigieren Sie zu Firewall → Shaper → Pipes in Ihrer OPNsense-Firewall-Weboberfläche.

2. Klicken Sie auf das + in der unteren rechten Ecke des Formulars, um eine Pipe für den anderen Upload-Verkehr zu erstellen.

3. Aktivieren Sie es, indem Sie das Kontrollkästchen anklicken.

4. Setzen Sie die Bandwidth auf 1984.

5. Setzen Sie die Bandwidth Metric auf kbit/s

6. Lassen Sie die Mask auf none.

7. Geben Sie eine Description wie 1984Kbps_Other_upload ein.

8. Klicken Sie auf Save.

   

   Abbildung 5. Erstellen eines Pipes für die Bandbreitenbegrenzung des anderen Upload-Verkehrs auf 1984 Kbps

So erstellen Sie eine Pipe, um die Download-Bandbreite für allen anderen Verkehr außer VoIP zu begrenzen

Sie können eine Pipe hinzufügen, um die Download-Bandbreite für allen anderen Verkehr außer VoIP zu begrenzen, indem Sie die folgenden Schritte ausführen.

1. Navigieren Sie zu Firewall → Shaper → Pipes in Ihrer OPNsense-Firewall-Weboberfläche.

2. Klicken Sie auf das + in der unteren rechten Ecke des Formulars, um eine Pipe für den anderen Download-Verkehr zu erstellen.

3. Aktivieren Sie es, indem Sie das Kontrollkästchen anklicken.

4. Setzen Sie die Bandwidth auf 19840.

5. Setzen Sie die Bandwidth Metric auf kbit/s

6. Lassen Sie die Mask auf none.

7. Geben Sie eine Description wie 19840Kbps_Other_download ein.

8. Klicken Sie auf Save.

   

   Abbildung 6. Erstellen eines Pipes zur Begrenzung der VoIP-Download-Bandbreite auf 19840 KbpsSie können alle Pipes, die Sie zur Bandbreitenreservierung erstellt haben, im Pipes-Bereich des Traffic Shapers in Ihrer OPNsense-Firewall anzeigen.

   

   Abbildung 7. Rohre erstellt zur Bandbreitenreservierung

9. Klicken Sie auf Apply, um die Änderungen anzuwenden.

2. Wie man die Traffic Shaper-Regeln erstellt

Sie müssen die folgenden 4 Traffic-Shaper-Regeln erstellen:

• Die Regel für VoIP-Upload-Verkehr, der an einen VoIP/SIP-Server mit der IP-Adresse 22.33.44.55 gerichtet ist.

• Die Regel für VoIP-Downloadverkehr, der vom VoIP/SIP-Server mit der IP-Adresse 22.33.44.55 empfangen wird.

• Die Regel für allen anderen Upload-Verkehr im LAN mit der IP-Adresse 10.10.10.0/24

• Die Regel für allen anderen Download-Verkehr im LAN mit der IP-Adresse 10.10.10.0/24.

So erstellen Sie eine Regel für VoIP-Upload-Verkehr, der an den VoIP/SIP-Server gerichtet ist

Sie können die folgenden Anweisungen befolgen, um die Traffic-Shaper-Regeln für die Reservierung der Bandbreite für VoIP-Upload-Verkehr im Netzwerk zu erstellen.

1. Klicken Sie auf die Registerkarte Rules, um die Traffic-Shaper-Regeln in Ihrer OPNsense-Firewall zu erstellen.

   

   Abbildung 8. Traffic-Shaper-Regeln in OPNsense

2. Klicken Sie auf das +-Symbol.

3. Setzen Sie Interface auf WAN.

4. Setzen Sie Proto auf ip.

5. Setzen Sie Source auf any.

6. Setzen Sie Src-port auf any.

7. Setzen Sie Destination auf 22.33.44.55.

8. Setzen Sie Dst-port auf any.

9. Setzen Sie Target auf 640Kbps_VoIP_upload.

10. Setzen Sie Description auf Shape_VoIP_upload.

11. Klicken Sie auf Save.

    

    Abbildung 9. Erstellen einer Traffic-Shaper-Regel zur Reservierung der VoIP-Upload-Bandbreite in OPNsense

So erstellen Sie eine Regel für VoIP-Downloadverkehr vom VoIP/SIP-Server

Sie können die folgenden Anweisungen befolgen, um die Traffic-Shaper-Regeln zu erstellen, um Download-Bandbreite für VoIP-Verkehr im Netzwerk zu reservieren.

1. Klicken Sie auf die Registerkarte Regeln, um die Traffic-Shaper-Regeln zu erstellen.

2. Klicken Sie auf das +-Symbol.

3. Setzen Sie Interface auf WAN.

4. Setzen Sie Proto auf ip.

5. Setzen Sie Source auf 22.33.44.55.

6. Setzen Sie Src-port auf any.

7. Setzen Sie Destination auf any.

8. Setzen Sie Dst-port auf any.

9. Setzen Sie Target auf 640Kbps_VoIP_download.

10. Setzen Sie Description auf Shape_VoIP_download.

11. Klicken Sie auf Save.

Abbildung 10. Erstellen einer Traffic-Shaper-Regel zur Reservierung der VoIP-Download-Bandbreite in OPNsense

So erstellen Sie eine Regel für den gesamten anderen WAN-Upload-Verkehr

Sie können die folgenden Anweisungen befolgen, um die Traffic-Shaper-Regeln zu erstellen, um die Upload-Bandbreite für allen anderen WAN-Verkehr im Netzwerk zu begrenzen.

1. Klicken Sie auf die Registerkarte Regeln, um die Traffic-Shaper-Regeln zu erstellen.

2. Klicken Sie auf das +-Symbol.

3. Setzen Sie Interface auf WAN.

4. Setzen Sie Proto auf ip.

5. Setzen Sie Source auf 10.10.10.0/24.

6. Setzen Sie Src-port auf any.

7. Setzen Sie Destination auf any.

8. Setzen Sie Dst-port auf any.

9. Setzen Sie Target auf 1984Kbps_Other_upload.

10. Setzen Sie Description auf Shape_Other_upload.

11. Klicken Sie auf Save.

Abbildung 11. Erstellen einer Traffic-Shaper-Regel für alle anderen WAN-Upload-Bandbreitenbeschränkungen in OPNsense

So erstellen Sie eine Regel für den gesamten anderen WAN-Downloadverkehr

Sie können die folgenden Anweisungen befolgen, um die Traffic-Shaper-Regeln zu erstellen, um die Download-Bandbreite für allen anderen WAN-Verkehr im Netzwerk zu begrenzen.

1. Klicken Sie auf die Registerkarte Regeln, um die Traffic-Shaper-Regeln zu erstellen.

2. Klicken Sie auf das +-Symbol.

3. Setzen Sie Interface auf WAN.

4. Setzen Sie Proto auf ip.

5. Setzen Sie Source auf any.

6. Setzen Sie Src-port auf any.

7. Setzen Sie Destination auf 10.10.10.0/24.

8. Setzen Sie Dst-port auf any.

9. Setzen Sie Target auf 19840Kbps_Other_download.

10. Setzen Sie Description auf Shape_Other_download.

11. Klicken Sie auf Save.

    

    Abbildung 12. Erstellen einer Traffic-Shaper-Regel für alle anderen WAN-Download-Bandbreitenbeschränkungen in OPNsenseSie können alle Regeln, die Sie für die Bandbreitenbegrenzung und -reservierung erstellt haben, im Rules-Bereich des Traffic Shaper in Ihrer OPNsense-Firewall einsehen.

    

    Abbildung 13. Regeln zur Bandbreitenreservierung und -begrenzung in OPNsense erstellt

12. Klicken Sie auf Apply, um die Änderungen zu übernehmen.

Überprüfung der Bandbreitenreservierung für VoIP/SIP-Verkehr

Um die Bandbreitenreservierung für VoIP/SIP-Verkehr in Ihrer OPNsense-Firewall zu überprüfen, navigieren Sie zu Firewall > Shaper > Status.

Auf der Status-Seite des Traffic Shapers können Sie den Datenverkehr ähnlich wie in Abbildung 14 anzeigen.

Abbildung 14. Überprüfung der Bandbreitenreservierung für VoIP/SIP-Verkehr in OPNsense

Wie man die Internetbandbreite gleichmäßig unter den Clients verteilt

In diesem Szenario nehmen wir an, dass Ihre Kunden sich über eine langsame Internetverbindung beschweren. Nach einer Untersuchung stellten Sie fest, dass einige der Benutzer die Internetbandbreite erschöpften, indem sie große Dateien vom FTP-Server der Geschäftspartner herunterluden. Allerdings haben Sie nicht genug Budget, um die Internetbandbreite zu erhöhen. Um dieses Problem zu lösen, haben Sie beschlossen, die Bandbreite gleichmäßig auf alle Benutzer zu verteilen. Ihre Anforderungen in diesem Fall sind wie folgt:

• Die Internetverbindung des Unternehmens hat eine Download-Bandbreite von 20 Mbps und eine Upload-Bandbreite von 2 Mbps.

• Das Unternehmens-LAN verwendet 10.10.10.0/24 IP-Adressen.

Sie können die Bandbreite ganz einfach gleichmäßig unter allen Benutzern aufteilen, indem Sie die nächsten 3 Hauptschritte befolgen:

1. Erstellen Sie Upload- und Download-Pipes

2. Warteschlangen erstellen

3. Erstellen von Traffic-Shaping-Regeln

Diese 3 Schritte werden in den folgenden Abschnitten kurz erklärt.

1. Wie man Upload- und Download-Pipes erstellt

Sie müssen die folgenden 2 Rohre erstellen:

• Rohr für Internet-Upload-Verkehr mit einer Bandbreite von 2 Mbps.

• Leitung für Internet-Download-Verkehr mit 20 Mbps Bandbreite.

So erstellen Sie eine Pipe für Internet-Upload-Verkehr

Sie können eine Pipe für den Internet-Upload-Verkehr hinzufügen, indem Sie die folgenden Schritte ausführen.

1. Navigieren Sie zu Firewall → Shaper → Pipes in Ihrer OPNsense-Firewall-Weboberfläche.

2. Klicken Sie auf das + in der unteren rechten Ecke des Formulars, um eine Pipe für den anderen Upload-Verkehr zu erstellen.

3. Aktivieren Sie es, indem Sie das Kontrollkästchen anklicken.

4. Setzen Sie die Bandwidth auf 2.

5. Setzen Sie die Bandwidth Metric auf Mbit/s.

6. Lassen Sie die Mask auf none.

7. Geben Sie eine Description wie 2Mbps_Internet_upload ein.

8. Klicken Sie auf Save.

   

   Abbildung 15. Erstellen einer Pipe für 2Mbps Internet-Upload-Verkehr in OPnsense

So erstellen Sie ein Pipe für Internet-Download-Verkehr

Sie können eine Pipe für den Internet-Download-Verkehr hinzufügen, indem Sie die folgenden Schritte ausführen.

1. Navigieren Sie zu Firewall → Shaper → Pipes in Ihrer OPNsense-Firewall-Weboberfläche.

2. Klicken Sie auf das + in der unteren rechten Ecke des Formulars, um eine Pipe für den Internet-Download-Verkehr zu erstellen.

3. Aktivieren Sie es, indem Sie das Kontrollkästchen anklicken.

4. Setzen Sie die Bandwidth auf 20.

5. Setzen Sie die Bandwidth Metric auf Mbit/s.

6. Lassen Sie die Mask auf none.

7. Geben Sie eine Description wie 20Mbps_Internet_download ein.

8. Klicken Sie auf Save.

   

   Abbildung 16. Erstellen eines Pipes für 20 Mbps Internet-Download-Verkehr in OPnsenseSie können alle Pipes, die Sie zur Verteilung der Internetbandbreite erstellt haben, im Pipes-Bereich des Traffic Shapers in Ihrer OPNsense-Firewall einsehen.

   

   Abbildung 17. Rohre erstellt zur Verteilung der Internetbandbreite in OPNsense

9. Klicken Sie auf Apply, um die Änderungen zu übernehmen.

2. Wie man Upload- und Download-Warteschlangen erstellt

Sie müssen die nächsten 2 Warteschlangen erstellen, die unten angegeben sind:

• Warteschlange für Internet-Upload-Verkehr mit Gewicht 100.

• Warteschlange für Internet-Download-Verkehr mit Gewicht 100.

So erstellen Sie eine Warteschlange für Internet-Upload-Verkehr

Sie können eine Pipe für den Internet-Upload-Verkehr hinzufügen, indem Sie die folgenden Schritte ausführen.

1. Navigieren Sie zu Firewall → Shaper → Queue in Ihrer OPNsense-Firewall-Weboberfläche.

   

   Abbildung 18. Erstellen einer Traffic Shaper-Warteschlange in OPNsense

2. Klicken Sie auf das + in der unteren rechten Ecke des Formulars, um eine Pipe für den Internet-Upload-Verkehr zu erstellen.

3. Aktivieren Sie es, indem Sie das Kontrollkästchen anklicken.

4. Wählen Sie 2Mbps_Internet_upload für das Rohr aus.

5. Setzen Sie Weight auf 100, um innerhalb des Pipes Priorität zu setzen. (1 is the lowest, 100 is the highest).

6. Setzen Sie die Mask auf source, um die angegebene Bandbreite gleichmäßig unter allen IP-Adressen im Quellfeld der Regeln zu verteilen. Dies wird typischerweise für Upload-Warteschlangen verwendet.

7. Geben Sie eine Description wie Queue_2Mbps_Internet_upload ein.

8. Klicken Sie auf Save.

   

   Abbildung 19. Erstellen einer Traffic Shaper-Warteschlange für den Internet-Upload in OPNsense

So erstellen Sie eine Warteschlange für Internet-Download-Verkehr

Sie können eine Pipe für den Internet-Download-Verkehr hinzufügen, indem Sie die folgenden Schritte ausführen.

1. Navigieren Sie zu Firewall → Shaper → Queue in Ihrer OPNsense-Firewall-Weboberfläche.

2. Klicken Sie auf das + in der unteren rechten Ecke des Formulars, um eine Pipe für den Internet-Download-Verkehr zu erstellen.

3. Aktivieren Sie es, indem Sie das Kontrollkästchen anklicken.

4. Wählen Sie 20Mbps_Internet_download für das Rohr.

5. Setzen Sie Weight auf 100, um innerhalb des Rohrs zu priorisieren. (1 is the lowest, 100 is the highest).

6. Lassen Sie die Mask auf destination eingestellt, um die angegebene Bandbreite gleichmäßig unter allen IP-Adressen im Ziel-Feld der Regeln zu verteilen. Eine 20Mbps-Leitung würde es 10 Clients ermöglichen, jeweils 2Mbps zu leihen. Dies wird typischerweise für Download-Warteschlangen verwendet.

7. Geben Sie eine Description wie Queue_20Mbps_Internet_download ein.

8. Klicken Sie auf Save.

   

   Abbildung 20. Erstellen einer Traffic Shaper-Warteschlange für Internet-Downloads in OPNsenseSie können alle Warteschlangen, die Sie zur Verteilung der Internetbandbreite erstellt haben, im Bereich Queues des Traffic Shapers in Ihrer OPNsense-Firewall einsehen.

   

   Abbildung 21. Warteschlangen zur Verteilung der Internetbandbreite in OPNsense erstellt

9. Klicken Sie auf Apply, um die Änderungen zu übernehmen.

3. Wie man Traffic Shaper-Regeln erstellt

Sie müssen die folgenden 2 Traffic-Shaper-Regeln erstellen:

• Regel für den Internet-Upload-Verkehr.

• Regel für Internet-Download-Verkehr.

So erstellen Sie eine Regel für den Internet-Upload-Verkehr

Sie können die folgenden Anweisungen befolgen, um eine Traffic-Shaper-Regel zu erstellen, die die Internet-Upload-Bandbreite gleichmäßig unter den LAN-Nutzern (10.10.10.0/24) im Netzwerk verteilt.

1. Klicken Sie auf die Registerkarte Regeln, um die Traffic-Shaper-Regeln zu erstellen.

2. Klicken Sie auf das +-Symbol.

3. Setzen Sie Interface auf WAN.

4. Setzen Sie Proto auf ip.

5. Setzen Sie Source auf 10.10.10.0/24.

6. Setzen Sie Src-port auf any.

7. Setzen Sie Destination auf any.

8. Setzen Sie Dst-port auf any.

9. Setzen Sie Target auf Queue_2Mbps_Internet_upload.

10. Setzen Sie Description auf Shape_Internet_upload.

11. Klicken Sie auf Save.

Abbildung 22. Erstellen einer Traffic-Shaper-Regel zur gleichmäßigen Verteilung der Internet-Upload-Bandbreite unter den LAN-Nutzern in OPNsense

So erstellen Sie eine Regel für den Internet-Download-Verkehr

Sie können die folgenden Anweisungen befolgen, um die Traffic-Shaper-Regeln zu erstellen, um die Internet-Upload-Bandbreite gleichmäßig unter den LAN-Benutzern (10.10.10.0/24) im Netzwerk zu verteilen.

1. Klicken Sie auf die Registerkarte Regeln, um die Traffic-Shaper-Regeln zu erstellen.

2. Klicken Sie auf das +-Symbol.

3. Setzen Sie Interface auf WAN.

4. Setzen Sie Proto auf ip.

5. Setzen Sie Source auf any.

6. Setzen Sie Src-port auf any.

7. Setzen Sie Destination auf 10.10.10.0/24.

8. Setzen Sie Dst-port auf any.

9. Setzen Sie Target auf Queue_20Mbps_Internet_download.

10. Setzen Sie Description auf Shape_Internet_download.

11. Klicken Sie auf Save.

Abbildung 23. Erstellen einer Traffic-Shaper-Regel zur gleichmäßigen Verteilung der Internet-Download-Traffic-Bandbreite unter den LAN-Nutzern in OPNsense

Sie können alle Regeln, die Sie zum gleichmäßigen Verteilen der Internet-Download-Traffic-Bandbreite unter den LAN-Nutzern erstellt haben, im Rules-Bereich des Traffic Shaper einsehen.

Abbildung 24. Regeln zur gleichmäßigen Verteilung der Internet-Download-Verkehrsbandbreite unter den LAN-Nutzern in OPNsense erstellt

12. Klicken Sie auf Apply, um die Änderungen zu übernehmen.

Überprüfung der gleichmäßigen Verteilung der Internetbandbreite

Um die gleichmäßige Verteilung der Internetbandbreite unter den LAN-Nutzern in Ihrer OPNsense-Firewall zu überprüfen, navigieren Sie zu Firewall > Shaper > Status.

Wenn einer der Clients eine große Datei ins Internet hochlädt oder herunterlädt, werden Sie im Current Activity der Client-IP-Adresse ähnliche verlorene Pakete wie in Abbildung 25 sehen.

Abbildung 25. Überprüfung der gleichmäßigen Verteilung der Internetbandbreite unter den LAN-Nutzern in OPNsense

info

Der OPNsense Traffic Shaper ermöglicht es Ihnen auch, die Internetbandbreitennutzung in Ihrem LAN oder Gastnetzwerk einfach zu begrenzen. Dann können Ihre Benutzer nicht mehr Internetbandbreite verbrauchen, als Sie zugewiesen haben.

Wie man Anwendungen mithilfe von Warteschlangen priorisiert

In diesem Szenario nehmen wir an, dass Ihr Chef sich darüber beschwert, dass er die Kameras in den Remote-Büros nicht richtig sehen kann. Nach einer Untersuchung haben Sie festgestellt, dass es erhebliche Paketverluste beim Video-Streaming über WAN-Verbindungen zwischen den Remote-Büros und den HQ-Büros gibt und dass HTTP(S)-Verbindungen den größten Teil der Bandbreitenkapazität verbrauchen. Allerdings haben Sie nicht genügend Budget, um die WAN-Bandbreite zu erhöhen. Um dieses Problem zu lösen, haben Sie beschlossen, die Anwendungen zu priorisieren. Ihre Anforderungen in diesem Fall sind wie folgt:

• Die WAN-Verbindung hat eine Download-Bandbreite von 10 Mbps.

• Das LAN des Unternehmenshauptsitzes verwendet 10.10.10.0/24 IP-Adressen.

• Videokameras verwenden den Port TCP/37777 für das Streaming.

Traffic Shaper ermöglicht es uns, die Bandbreite innerhalb eines Datenstroms zu beeinflussen, indem wir Warteschlangen verwenden und bestimmten Anwendungen basierend auf einem gewichteten Algorithmus mehr Bandbreite als anderen zuweisen. In unserem Beispiel berücksichtigen wir nur den Download-Verkehr und setzen den Gewichtungsparameter für Video-Streaming-Anwendungen auf 9 und für HTTP(S) auf 1.Wenn unsere gesamte Bandbreitenkapazität genutzt wird, erhält der Video-Streaming-Verkehr 9-mal mehr Bandbreite als der HTTP(S)-Verkehr, was zu 1 Mbps für HTTP(S) und 9 Mbps für Video-Streaming führt.

Anwendung	Gewicht	Mindestbandbreite
Video Streaming (Port 37777)	9	9 Mbps
HTTP (80) / HTTPS (443)	1	1 Mbps

Sie können die Anwendungen zur Bandbreitennutzung ganz einfach priorisieren, indem Sie die nächsten 3 Hauptschritte befolgen:

1. Erstellen Sie Download-Pipes

2. Warteschlangen erstellen

3. Erstellen von Traffic-Shaping-Regeln

Diese 3 Schritte werden in den folgenden Abschnitten kurz erklärt.

1. Wie man eine Download-Pipeline erstellt

Sie können eine Pipe für den Internet-Download-Verkehr hinzufügen, indem Sie die folgenden Schritte ausführen.

1. Navigieren Sie zu Firewall → Shaper → Pipes in Ihrer OPNsense-Firewall-Weboberfläche.

2. Klicken Sie auf das + in der unteren rechten Ecke des Formulars, um eine Pipe für den Download-Verkehr zu erstellen.

3. Aktivieren Sie es, indem Sie das Kontrollkästchen anklicken.

4. Setzen Sie die Bandwidth auf 10.

5. Setzen Sie die Bandwidth Metric auf Mbit/s.

6. Lassen Sie die Mask auf none.

7. Geben Sie eine Description wie 10Mbps_download ein.

8. Klicken Sie auf Save.

   

   Abbildung 26. Erstellen einer Pipe für 10 Mbps Download-Verkehr in OPnsense

2. Wie man Video-Streaming- und HTTP(S)-Queues erstellt

Sie müssen die nächsten 2 Warteschlangen erstellen, die unten angegeben sind:

• Warteschlange für Video-Streaming-Verkehr mit Gewicht 9.

• Warteschlange für HTTP(S)-Verkehr mit Gewicht 1.

Wie man eine Warteschlange für Video-Streaming-Verkehr erstellt

Sie können eine Warteschlange für Video-Streaming-Verkehr hinzufügen, indem Sie die folgenden Schritte ausführen.

1. Navigieren Sie zu Firewall → Shaper → Queue in Ihrer OPNsense-Firewall-Weboberfläche.

2. Klicken Sie auf das + in der unteren rechten Ecke des Formulars, um eine Pipe für den Queue-Video-Streaming-Verkehr zu erstellen.

3. Aktivieren Sie es, indem Sie das Kontrollkästchen anklicken.

4. Wählen Sie 10Mbps_download für das Rohr aus.

5. Setzen Sie das Weight auf 9, um innerhalb des Rohrs zu priorisieren.

6. Setzen Sie die Mask auf none.

7. Geben Sie eine Description wie Queue_Video_Streaming ein.

8. Klicken Sie auf Save.

   

   Abbildung 27. Erstellen einer Traffic Shaper-Warteschlange für Video-Streaming-Verkehr in OPNsense

So erstellen Sie eine Warteschlange für HTTP(S)-Verkehr

Sie können eine Warteschlange für HTTP(S)-Verkehr hinzufügen, indem Sie die folgenden Schritte ausführen.

1. Navigieren Sie zu Firewall → Shaper → Queue in Ihrer OPNsense-Firewall-Weboberfläche.

2. Klicken Sie auf das + in der unteren rechten Ecke des Formulars, um eine Warteschlange für den HTTP(S)-Verkehr zu erstellen.

3. Aktivieren Sie es, indem Sie das Kontrollkästchen anklicken.

4. Wählen Sie 10Mbps_download für das Rohr.

5. Setzen Sie das Weight auf 1, um innerhalb des Rohrs Priorität zu setzen.

6. Setzen Sie die Mask auf none.

7. Geben Sie eine Description wie Queue_HTTP ein.

8. Klicken Sie auf Save.

   

   Abbildung 28. Erstellen einer Traffic Shaper-Warteschlange für HTTP(S)-Verkehr in OPNsenseSie können alle Warteschlangen, die Sie zur Anwendungspriorisierung erstellt haben, im Bereich Queues des Traffic Shapers in Ihrer OPNsense-Firewall einsehen.

   

   Abbildung 29. Warteschlangen zur Anwendungspriorisierung in OPNsense erstellt

9. Klicken Sie auf Apply, um die Änderungen zu übernehmen.

3. Wie man Traffic Shaper-Regeln erstellt

Sie müssen die folgenden 2 Traffic-Shaper-Regeln erstellen:

• Regel für Video-Streaming-Download-Verkehr.

• Regel für HTTP/WEB-Download-Verkehr.

• Regel für HTTP(S)/WEB-Download-Verkehr

So erstellen Sie eine Regel für den Download-Verkehr von Video-Streaming

Sie können eine Traffic-Shaper-Regel erstellen, um den Video-Streaming-Verkehr zu priorisieren, indem Sie die folgenden Anweisungen befolgen.

1. Klicken Sie auf die Registerkarte Regeln, um die Traffic-Shaper-Regeln zu erstellen.

2. Klicken Sie auf das +-Symbol.

3. Setzen Sie Interface auf WAN.

4. Setzen Sie Proto auf tcp.

5. Setzen Sie Source auf any.

6. Setzen Sie Src-port auf 37777.

7. Setzen Sie Destination auf any.

8. Setzen Sie Dst-port auf any.

9. Setzen Sie Target auf Queue_Video_Streaming.

10. Setzen Sie Description auf Shape_Video_Streaming.

11. Klicken Sie auf Save.

Abbildung 30. Erstellen einer Traffic-Shaper-Regel zur Priorisierung des Video-Streaming-Verkehrs in OPNsense

So erstellen Sie eine Regel für HTTP-Verkehr

Sie können eine Traffic-Shaper-Regel erstellen, um HTTP-Verkehr zu priorisieren, indem Sie die folgenden Anweisungen befolgen.

1. Klicken Sie auf die Registerkarte Regeln, um die Traffic-Shaper-Regeln zu erstellen.

2. Klicken Sie auf das +-Symbol.

3. Setzen Sie Interface auf WAN.

4. Setzen Sie Proto auf ip.

5. Setzen Sie Source auf any.

6. Setzen Sie Src-port auf HTTP.

7. Setzen Sie Destination auf any.

8. Setzen Sie Dst-port auf any.

9. Setzen Sie Target auf Queue_HTTP.

10. Setzen Sie Description auf Shape_HTTP.

11. Klicken Sie auf Save.

Abbildung 31. Erstellen einer Traffic-Shaper-Regel zur Priorisierung des HTTP-Verkehrs in OPNsense

So erstellen Sie eine Regel für HTTPS-Verkehr

Sie können eine Traffic-Shaper-Regel erstellen, um HTTPS-Verkehr zu priorisieren, indem Sie die folgenden Anweisungen befolgen.

1. Klicken Sie auf die Registerkarte Regeln, um die Traffic-Shaper-Regeln zu erstellen.

2. Klicken Sie auf das +-Symbol.

3. Setzen Sie Interface auf WAN.

4. Setzen Sie Proto auf ip.

5. Setzen Sie Source auf any.

6. Setzen Sie Src-port auf HTTPS.

7. Setzen Sie Destination auf any.

8. Setzen Sie Dst-port auf any.

9. Setzen Sie Target auf Queue_HTTPS.

10. Setzen Sie Description auf Shape_HTTPS.

11. Klicken Sie auf Save.

    

    Abbildung 32. Erstellen einer Traffic-Shaper-Regel zur Priorisierung des HTTPS-Verkehrs in OPNsenseSie können alle Regeln, die Sie zur Priorisierung von Anwendungen erstellt haben, im Regeln-Bereich des Traffic Shapers in Ihrer OPNsense-Firewall einsehen.

    

    Abbildung 33. Regeln zur Anwendungspriorisierung in OPNsense erstellt

12. Klicken Sie auf Apply, um die Einstellungen zu aktivieren.

Wie man den Datenverkehr basierend auf der Netzwerkschnittstelle in OPNsense formt

Die Traffic-Shaper-Funktion von OPNsense ermöglicht es Ihnen, den Datenverkehr je nach Richtung, in der er zwischen den Schnittstellen fließt, unterschiedlich zu gestalten. Shape-Regeln können basierend auf zwei Schnittstellen erstellt werden.

In diesem Szenario nehmen wir an, dass Sie zwei Schnittstellen für das lokale Netzwerk in Ihrem OPNsense haben. Die erste, LAN, wird von den Mitarbeitern genutzt, und die zweite, GUESTNET, wird verwendet, um Besuchern eine kostenlose Internetverbindung bereitzustellen. Sie müssen die Internetnutzung für GUESTNET einschränken, um zu verhindern, dass Gäste die Internetverbindung überlasten.

Ihre Anforderungen in diesem Fall sind wie folgt:

• Die Internetverbindung hat eine Download-Bandbreite von 10 Mbps.

• Das LAN-Netzwerk wird nicht eingeschränkt.

• Das Gastnetzwerk wird auf insgesamt 2 Mbps Download und 1 Mbps Upload begrenzt.

Sie können die Anwendungen zur Bandbreitennutzung ganz einfach priorisieren, indem Sie die nächsten 2 Hauptschritte befolgen:

1. Erstellen Sie Upload- und Download-Pipes

2. Erstellen von Traffic-Shaping-Regeln

Diese 2 Schritte werden in den folgenden Abschnitten kurz erklärt.

1. Wie man Upload- und Download-Pipes erstellt

Sie müssen die nächsten 2 Rohre erstellen, die unten angegeben sind:

• Pipe für den Internet-Upload-Verkehr in GUESTNET mit einer Bandbreite von 1 Mbps.

• Leitung für Internet-Download-Verkehr in GUESTNET mit 2 Mbps Bandbreite.

So erstellen Sie eine Pipe für den Internet-Upload-Verkehr in GUESTNET

Sie können eine Pipe für den Internet-Upload-Verkehr hinzufügen, indem Sie die folgenden Schritte ausführen.

1. Navigieren Sie zu Firewall → Shaper → Pipes in Ihrer OPNsense-Firewall-Weboberfläche.

2. Klicken Sie auf das + in der unteren rechten Ecke des Formulars, um eine Pipe für den anderen Upload-Verkehr zu erstellen.

3. Aktivieren Sie es, indem Sie das Kontrollkästchen anklicken.

4. Setzen Sie die Bandwidth auf 1.

5. Setzen Sie die Bandwidth Metric auf Mbit/s.

6. Lassen Sie die Mask auf none.

7. Geben Sie eine Description wie 1Mbps_GUESTNET_upload ein.

8. Klicken Sie auf Save.

Abbildung 34. Erstellen einer Pipe für 1Mbps GUESTNET-Upload-Verkehr in OPnsense

So erstellen Sie eine Pipe für Internet-Download-Verkehr in GUESTNET

Sie können eine Pipe für den Internet-Download-Verkehr hinzufügen, indem Sie die folgenden Schritte ausführen.

1. Navigieren Sie zu Firewall → Shaper → Pipes in Ihrer OPNsense-Firewall-Weboberfläche.

2. Klicken Sie auf das + in der unteren rechten Ecke des Formulars, um eine Pipe für den anderen Upload-Verkehr zu erstellen.

3. Aktivieren Sie es, indem Sie das Kontrollkästchen anklicken.

4. Setzen Sie die Bandwidth auf 2.

5. Setzen Sie die Bandwidth Metric auf Mbit/s.

6. Lassen Sie die Mask auf none.

7. Geben Sie eine Description wie 2Mbps_GUESTNET_download ein.

8. Klicken Sie auf Save.

   

   Abbildung 35. Erstellen eines Pipes für 2 Mbps Internet-Download-Verkehr in OPnsense

2. Wie man Traffic Shaper-Regeln erstellt

Sie müssen die folgenden 2 Traffic-Shaper-Regeln erstellen:

• Regel für den Internet-Upload-Verkehr in GUESTNET.

• Regel für den Internet-Download-Verkehr in GUESTNET.

So erstellen Sie eine Regel für den Internet-Upload-Verkehr in GUESTNET

Sie können die folgenden Anweisungen befolgen, um eine Traffic-Shaping-Regel zur Begrenzung der Internet-Upload-Bandbreite für GUESTNET-Nutzer zu erstellen.

1. Klicken Sie auf die Registerkarte Regeln, um die Traffic-Shaper-Regeln zu erstellen.

2. Klicken Sie auf das +-Symbol.

3. Klicken Sie auf den Umschalter für den Erweiterten Modus in der oberen rechten Ecke des Fensters.

4. Stellen Sie Interface auf GUESTNET ein.

5. Setzen Sie interface2 auf WAN.

6. Setzen Sie Proto auf ip.

7. Setzen Sie Source auf any.

8. Setzen Sie src-port auf any.

   

   Abbildung 36. Erstellen einer Traffic-Shaper-Regel zur Begrenzung der Internet-Upload-Bandbreite in GUESTNET-1

9. Setzen Sie Destination auf any.

10. Setzen Sie Dst-port auf any.

11. Setzen Sie Direction auf out.

12. Setzen Sie Target auf 1Mbps_GUESTNET_upload.

13. Setzen Sie Description auf Shape_GUESTNET_upload.

14. Klicken Sie auf Sasve.

    

    Abbildung 37. Erstellen einer Traffic-Shaper-Regel zur Begrenzung der Internet-Upload-Bandbreite in GUESTNET-2

So erstellen Sie eine Regel für den Internet-Download-Verkehr

Sie können die folgenden Anweisungen befolgen, um eine Traffic-Shaper-Regel zur Begrenzung der Internet-Download-Bandbreite für GUESTNET-Nutzer zu erstellen.

1. Klicken Sie auf die Registerkarte Regeln, um die Traffic-Shaper-Regeln zu erstellen.

2. Klicken Sie auf das +-Symbol.

3. Klicken Sie auf den Umschalter für den Erweiterten Modus in der oberen rechten Ecke des Fensters.

4. Stellen Sie Interface auf WAN ein.

5. Setzen Sie Interface2 auf GUESTNET.

6. Setzen Sie Proto auf ip.

7. Setzen Sie Source auf any.

8. Setzen Sie Src-port auf any.

   

   Abbildung 38. Erstellen einer Traffic-Shaper-Regel zur Begrenzung der Internet-Download-Bandbreite in GUESTNET-1

9. Setzen Sie Destination auf any.

10. Setzen Sie Dst-port auf any.

11. Setzen Sie Direction auf in.

12. Setzen Sie Target auf 2Mbps_GUESTNET_download.

13. Setzen Sie Description Shape_GUESTNET_download.

14. Klicken Sie auf Save.

    

    Abbildung 39. *Erstellen einer Traffic-Shaper-Regel zur Begrenzung der Internet-Download-Traffic-Bandbreite in GUESTNET-2

    Sie können alle Regeln, die Sie zur gleichmäßigen Verteilung der Internet-Download-Traffic-Bandbreite unter den LAN-Benutzern erstellt haben, im Regeln-Bereich des Traffic Shaper einsehen.

    

    Abbildung 40. Regeln zur Begrenzung der Internetnutzung für GUESTNET-Benutzer in OPNsense erstellt

15. Klicken Sie auf Apply, um die Änderungen zu übernehmen.

Überprüfung der Begrenzung der Internetbandbreite für GUESTNET

Um die Internet-Bandbreitenbegrenzung für GUESTNET-Benutzer in Ihrer OPNsense-Firewall zu überprüfen, navigieren Sie zu Firewall > Shaper > Status.

Wenn einer der Clients die von Ihnen definierten Internet-Bandbreitenlimits überschreitet, werden Sie in der Current Activity der Client-IP-Adresse ähnliche verworfene Pakete wie in Abbildung 41 sehen.

Abbildung 41. Überprüfung der Internet-Bandbreitenbegrenzung für GUESTNET-Nutzer in OPNsense