Wiemy już czym jest bezpłatne rozwiązanie pfSense, a także poznaliśmy kilka jego możliwości. W dzisiejszym artykule pokażę Wam jak przy pomocy tego świetnego firewalla uruchomić podział pasma sieciowego ze względu na grupy.

Po co dzielimy pasmo? Z kilku powodów. Pracownicy w trakcie pracy robią różne rzeczy. Pracują co jasne, ale także słuchają muzyki, pobierają pliki. Czasem uruchamiają pobieranie na tyle dużych plików, że w konsekwencji może być ono odczuwalne dla pozostałych. W czasach strumieniowanego kontentu staje się to uciążliwe, zwłaszcza jeśli sieć firmowa nie dysponuje odpowiednio szybkim łączem. Mamy w domach światłowody. Prędkości w mieszkaniach są często powyżej 100 Mb/s, a przy obecnych cenach łącz światłowodowych, przepływności 1 Gb/s nikogo już nie dziwią.

To co jednak mamy w domu to łącza konsumenckie, często bez gwarancji SLA, bez gwarancji przepustowości (słynne zapiski, z którymi UOKiK walczył “do”). Łącza biznesowe są z reguły kilkukrotnie droższe. Zawierają w umowie gwarantowane parametry. Dlatego zachowanie dużych prędkości, często symetrycznie, musi być po prostu droższe, więc o ile w domu łącze 1 Gb/s kosztuje w granicach 100 zł miesięcznie +/- , to w przypadku łącza biznesowego, te ceny mogą wahać się w granicach ok. 1000 zł miesięcznie +/-. Dlatego nie zawsze w firmie będziemy mieli łącze o dużej przepustowości. W dzisiejszym artykule będziemy właśnie rozpatrywać takie przypadki biznesowe, gdzie łącze biurowe mamy w granicach np. 20 Mb/s.

Stąd konieczność radzenia sobie z wysyceniem łącza. Praca biurowa a łącze zajęte? Być może właśnie jeden z pracowników postanowił obejrzeć na drugim ekranie mecz w 4K, albo korzystając z łącza firmowego (bo w domu ma np. tylko LTE) zdecydował pobrać trochę muzyki lub film na wieczór. Częsta sytuacja. Doskonale sprawdzą się rozwiązania sieciowe np. Axence nVision®, gdzie możemy monitorować rodzaje pobieranych plików, limitować co pracownicy robią na komputerach, uniemożliwiać pobranie wskazanych plików, monitorować w całości ruch sieciowy. Warto mieć także na froncie limiter, który pozwoli nam ograniczyć kreatywność pracowników w pobieraniu różnego rodzaju plików oraz ruch np. w sieciach peer to peer.

1. Założenia

  • Łącze w firmie ma około 20 Mb/s Download – 20 Mb/s Upload. Łącze biznesowe.
  • Mamy już zainstalowany pfSense zgodnie z poprzednimi poradnikami.
  • Mamy uruchomione DHCP ze statycznymi adresami IP.

Co chcemy osiągnąć?

Chcemy, aby jeden pracownik mógł maksymalnie zająć 8 Mb/s, co powinno mu spokojnie wystarczyć do pracy biurowej, a jednocześnie pozwolić na słuchanie muzyki z popularnych serwisów streamingowych jak: Spotify, Apple Music, Tidal, a także słuchać podcastów, stacji internetowych (nawet 320 kbps MP3) czy muzyki na YouTube w formie filmów HD.

2. Utworzenie Aliasów (grup) pracowników

Na początek musimy utworzyć grupy pracowników, tak zwane “aliasy”. W aliasach tych umieścimy adresy IP pracowników, na których będziemy nakładać odpowiednie w dalszej części limity przepustowości.

Pozostajemy w zakładce IP i klikamy “Add”.

W tym przypadku limitowanie odbywa się po adresie IP przypisanym pracownikowi.

Od razu ktoś powie – ale pracownik może zmienić adres IP i ominąć limity. Nie. Możemy w pfSense mu to uniemożliwić, ale o tym jak uniemożliwić pracownikom zmiany IP i po takiej próbie ich odcinać automatycznie przeczytacie w innym artykule.

No więc, mamy adres IP 192.168.1.102 – IP administratora, który powinien mieć nielimitowany internet – tak zakładam. Ustawiamy jak na obrazku.

Zapisujemy. Aplikujemy.

Przechodzimy na zakładkę “Firewall” > “Trafic Shaper”.

Przechodzimy na zakładkę “Limiters”.

Litowanie Download.

Ustawiamy jak na obrazku – ustawiamy limit dla administratorów. Pobieranie około 10 Mb/s.

Schedular przestawiamy – zostawiamy w domyślnych ustawieniach.

Zapisujemy i aplikujemy.

Tworzymy kolejny limiter – tym razem dla upload, podobnie jak download. Upload na przykład ustawiamy na około 8 Mb/s.

Przechodzimy do zakładki “Firewall” > “”Rules”.

Przechodzimy na zakładkę “LAN”.

Klikamy na “Add”.

Ustawiamy jak na obrazku:

Przechodzimy na opcje zaawansowane.

Schodzimy na dół i właściwie do najprostszego limitowania wystarczy zaznaczyć to co na obrazku.

Zapisujemy, aplikujemy i limity właśnie zaczęły obowiązywać.

Sprawdzamy.

Zmniejszamy testowo wartości Download 5 Mb/s i Upload na 3 Mb/s.

Podsumowanie

Wartości ustawiane w pfSense powinny mniej więcej zgadzać się z tymi osiąganymi na speedtestach – przy pobieraniu czy wysyłaniu.

Warto limitować ruch w sieciach, gdzie nie mamy do dyspozycji łącza o dużej przepustowości. Jednak nawet przy łączach 1 Gb/s –  z doświadczenia u klientów wiem, że potrafią być one wysycane przez pracowników, którzy w firmie ściągają, albo zapominają po przyjściu do firmy wyłączać swoje aplikacje p2p.  O ile ich nie blokujemy w inny sposób, np. przy pomocy polityk narzucanych na system operacyjny, to procedury swoje, a życie pokazuje, że pracownicy robią różne rzeczy na swoim sprzęcie firmowym.