Вы имеете ввиду исходящие соединения торрента? Т.к. входящие нормально ловятся обычным правилом, идентичным пробросу портов.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Именно. ответ на этот хост идет уже через установленное соединение, отсюда и такой "кавардак"

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Извиняюсь, ответить сразу не мог.
Юрий, вы просили максимально простую конфигурацию, ну так держите :
1. В идеале, асимметричный канал от провайдера, но, возможно, допустимо организовать его искусственно с помощью каналов.
2. За DFL в lannet 2 хоста на одном из которых установлен торрент-клиент, и на этот хост проброшен порт для этого клиента.
3. Минимальный набор каналов и правил, которых, как я считал, должно было хватить для разруливания трафика между этими двумя машинами согласно задачам, изложенным в предыдущем моём посте. Т.е. хосту B, должна гарантироваться полоса пропускания в 300 kbps с приоритетом 2, весь остальной трафик свыше этого значения пойдёт с приоритетом 0, следовательно, у трафика, принадлежащего хосту A, приоритет будет выше (1):



VPN_CLI_Int - интерфейс VPN-клиента
A-host_ip и B-host_ip - дреса машин в локалке за LAN-интерфейсом DFL между которыми шейпится трафик, торрент-клиен установлен на B-host_ip.
Но каменный цветок не выходит с этими настройками (в левой части графика скорости шейпер неактивен, в правой - шейпер включен):



Консоль по SSH выдаёт аналогичные показатели:

Т.е. часть входящего трафика у меня после применения канальных правил куда-то испаряется и до адресата не доходит.

Далее проводим дополнительный эксперимент. Увеличиваю значение общего ограничения для обоих VPN-каналов, как входящего, так и исходящего до 7000 kbps, для того, чтобы взглянуть, что в этом случае будет твориться с содержимым обоих каналов (график скорости не привожу, т.к. визуально он ничем не отличается от графика при отключенном шейпере):

По серии из этих 3 замеров видно, что количество трафика в каналах сильно плавает, причём, трафика в исходящем канале обычно ощутимо больше 3 Mbps, заявляемых провайдером, а во входящем канале обычно ощутимо меньше, чем 6 Mbps (но бывают и исключения), хотя в сумме, опять же, обычно получается число близкое к 9 Mbps. Т.е. как минимум в исходящий канал DFL замешивает некоторую часть входящего трафика, видимо, как я понимаю, Сергей об этом и говорит в своих постах.


Ну вообще-то, в разделе мануала по шейпингу это нигде не задокументировано, поэтому, ИМХО, считать это нормой не корректно.


Возможно это и поможет, вот только при установке прошивки 2.26 все сигнатуры затираются, что "халявные" (в кавычках потому, что за эти сигнатуры я заплатил, преобретая DFL), идущие в комплекте с умолчательной прошивкой, что триальные, а тратить 80-100$ (или сколько они там теперь стоят) на годовую коммерческую подписку на какие-то одни сигнатуры в домашних условиях, ИМХО, как то не "Айс".

Сергей, хотелось бы у вас уточнить ещё пару вопросов.
На сколько понял, при VPN пакет кроме сырой полезной информации содержит ещё и блок служебной VPN-информации (прошу прощения за возможно ламерские формулировки), в мануале проскакивает значение в 25% от объёма полезных данных. Так вот, я правильно понимаю, что DFL отправляет под шейпер именно ещё не перепакованные (в случае входящего соединения) и уже перепакованные (в случае исходящего соединения) пакеты, содержащие эту служебную информацию?
В прикладном плане этот вопрос меня интересует вот с какой стороны: допустим, провайдер предоставляет по VPN честные, скажем, 3 Mbps в обе стороны полезного трафика, т.е. по факту получается, что входящий и исходящий каналы провайдера ко мне/от меня на самом деле больше на эти ~25%. Если DFL шейпит не сырой полезный трафик, а пакеты содержащие служебную VPN-информацию, то тут, ИМХО, возникает проблема задания ограничения для общих VPN-каналов (исходящего/входящего).

Второй вопрос: если между DFL и внутренней сетью поставить коммутатор L2 с нормальной поддержкой QoS, а не костылей в виде Pipes, удастся ли обойти обсуждаемую тут проблему шейпинга при использовании p2p-софта?

_________________
Beeline (L2TP Dual Access) -> DFL-210 (f/w 2.26.00.06) -> MikroTik RouterOS@RB450G (v4.17) -> AP TP-Link TL-WA901ND
Русский мануал по шейпингу трафика в сетевых экранах серии DFL
Полноценные неурезанные прошивки для DFL: http://tsd.dlink.com.tw

QoS тут в чистом виде не поможет из-за особенностей P2P. к тому же для того чтоб работал QoS, он же должен быть настрое на стороне провайдера.

Что касается беханизма прохожденияпакета, то я рекомендую посмотреть блок схему к инструкции устройтсва.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Ясно. Спасибо и на этом. Но раз уж всё-равно нужно покупать гигабитный свитч, то лучше пойду отмучивать из семейного бюджета денежку на покупку Allied Telesis AT-GS950/8POE: на сколько понял, на нём эту проблему можно будет решить при помощи VLAN'ов и приоритезации по порту, а не гемороиться с платными сигнатурами на DFL.

_________________
Beeline (L2TP Dual Access) -> DFL-210 (f/w 2.26.00.06) -> MikroTik RouterOS@RB450G (v4.17) -> AP TP-Link TL-WA901ND
Русский мануал по шейпингу трафика в сетевых экранах серии DFL
Полноценные неурезанные прошивки для DFL: http://tsd.dlink.com.tw

Решил отписаться по поводу способа решения своей проблемы и о том, что я понял о работе шейпера DFL в процессе её решения.
После поиска доступных в плане финансов решений во всемирной паутине было решено приобрести готовое аппаратно-программное решение от MikroTik на базе RouterBoard RB450G + RouterOS 4.6: маленькая алюминиевая коробочка (по объёму в 3 – 3,5 раза меньше чем DFL-210) c 5(!) свободно конфигурируемыми физическими гигабитными Ethernet-интерфейсами (имеется также аппаратная поддержка объединения всех 5 портов в один управляемый L2-свитч) – полноценный роутер по возможностям не то что не уступающий, а зачастую превосходящий возможности DFL. Цена этой маленькой коробочки с большими возможностями почти в 2 раза ниже, чем у DFL-210.
Микротик был воткнут в разрыв между DFL и LAN и, настроив на нём шейпер, я получил адекватные результаты. После знакомства с Микротиком мне смешно слышать разговоры про продвинутость шейпера у линейки DFL (разве что для сравнения брать более дешёвые модели D-Linka), по сравнению с Микротиком шейпер в DFL-210 – детский сад. Причём у МТ имеется даже 2 типа шейпера, которые допускается использовать одновременно: простой – Simple Queues (урезанный по возможностям вариант которого и используется в DFL) и более продвинутый Queue Tree на основе HTB (Hierarchical Token Bucket). Но, в общем-то, речь далее пойдёт о том, что я понял о принципе работы шейпера DFL, настраивая шейпер в Микротике и о том, почему всплывают такие недоразумения с направлением трафика не в тот канал, с которыми я столкнулся ранее при использовании шейпера от D-Link’а – кому-то, возможно, информация окажется полезной. Если где-то ошибусь, пусть меня сотрудники D-Link поправят.

Создавая правило канала в DFL для прямого, исходящего соединения (в случае использования SAT-правила прямое соединение будет входящим), мы тем самым его маркируем, "окрашиваем". Обратные соединения, инициируемые помеченным нами прямым соединением, автоматически определяются stateful-файрволлом DFL’а (именно поэтому в Pipe Rules нет необходимости указывать параметры входящих соединений (в случае SAT – исходящих)) и тоже маркируются. Затем трафик промаркированных соединений направляется в заданные цепочки каналов для прямого и обратного трафика. Вот в маркировке и кроется вся засада:

1. Для экономии системных ресурсов, маркировка в DFL’е на самом деле происходит в 2 этапа:
а) Пользователь, создавая свои канальные правила, явным образом помечает сами соединения (да и то только прямые, т.к. обратные за него метит сам DFL).
б) Дело в том, что шейпер умеет работать только с пакетами данных, но не с соединениями, поэтому на втором этапе DFL прозрачно, незаметно для пользователя помечает уже непосредственно сами пакеты, а для уменьшения нагрузки на процессор он (DFL) заголовок каждого пакета не читает, а метит пакет только на основании метки соединения, к которому он относится. Т.е., допустим, если соединение помечено как исходящее, то и все пакеты этого соединения будут помечены как исходящие и, соответственно, будут направлены в канал для исходящего трафика.

2. Но в действительности в установленном соединении трафик (пакеты данных) ходит в обоих взаимно противоположных направлениях, а не только в сторону формального направления соединения (что, видимо, и пытался донести Сергей Васильев на предыдущей странице данной темы), но, как я уже описал выше, метятся они все одинаково и направляются в одну и ту же цепочку каналов. В итоге мы и получаем ситуацию, когда в исходящую цепочку каналов попадает как исходящий, так и входящий трафик (что справедливо и для входящей цепочки ).
Т.к. каналу без разницы, в каком направлении по нему идёт трафик, а важно лишь его количество, то по достижению лимита, допустим, в исходящем канале, шейпер DFL’а наряду с исходящим трафиком обрезает и некоторую часть входящего, а асимметричность моего канала, видимо, ещё усугубляет ситуацию.
В общем, как-то так.
В Микротике же я могу отдельно промаркировать каждый входящий/исходящий пакет, что исключает ситуацию подобную той, с которой я столкнулся на DFL’е, т.к. информация о направлении пакета персонально читается из его заголовка.

_________________
Beeline (L2TP Dual Access) -> DFL-210 (f/w 2.26.00.06) -> MikroTik RouterOS@RB450G (v4.17) -> AP TP-Link TL-WA901ND
Русский мануал по шейпингу трафика в сетевых экранах серии DFL
Полноценные неурезанные прошивки для DFL: http://tsd.dlink.com.tw

Столкнулся с подобной проблемой, но мне немного проще исходя из того что у меня канал одинаковый в обе стороны.
Загвоздка возникла в другом: pipe rule ограничивает все сервисы на закачку КРОМЕ торрентов. А вот как-раз с ними и пытаюсь бороться.
В описании пайпа указано только ограничение скорости, в пайп руле прописано как источник локальный адрес хоста, как назначение - порт к провайдеру с маской 0.0.0.0, в сервайсах указаны all_tcpudpicmp. Аналогичным образом настроены правила НАТа для этих локальных хостов.
В результате я получаю что при включении шейпинга увеличивается скорость пинга, скорось закачки по http или ftp четко ограничивается согласно скорости указаной в пайпе, а вот торренты продалжают закачиваться/раздаваться на максимальной скорости.
Просветите в логике работы Длинковского шейпера.

MrD
Было бы проще, если бы вы свои настройки каналов для начала предоставили и правила для них, а то местами не понятно что вы имеете ввиду:

Что за "порт к провайдеру"?

Если задача стоит полностью зарезать торрент для всех, то выход, ИМХО, один - в IP Rules разрешаете только нужные сервисы, т.е. dns, icmp, http, ftp, и т.д. Всё остальное жёстко блочите.
Если в клиенте включено шифрование (а оно включено у большинства), то отловить такой шифрованный торрент-трафик невозможно даже с помощью платных сигнатур. Как вариант способа борьбы - ограничение активных соединений на один ip-адрес, но я не в курсе можно ли это реализовать с DFL (на Микротике можно ).

_________________
Beeline (L2TP Dual Access) -> DFL-210 (f/w 2.26.00.06) -> MikroTik RouterOS@RB450G (v4.17) -> AP TP-Link TL-WA901ND
Русский мануал по шейпингу трафика в сетевых экранах серии DFL
Полноценные неурезанные прошивки для DFL: http://tsd.dlink.com.tw

Имеется ввиду интерфейс который подключен к провайдеру, с маской all nets.


Нет, всё резать я, как раз, не хочу. Просто фиксированно ограничить трафик.Так чтоб на каждый локальный ИП не выделятлось, скажем, больше 1Мбит/с всего трафика, и пофиг что человек качает по 80 порту или торрент или фтп, сумарно скорость не превышает 1Мбит/с.

Ну тогда создайте пару каналов с функцией Grouping: для исходящего трафика с опцией "Source IP", а для входящего, соответственно, с опцией "Destination IP", выставив значение 1Mbps на пользователя. А правилом канала направьте "all_services" в созданные каналы.

_________________
Beeline (L2TP Dual Access) -> DFL-210 (f/w 2.26.00.06) -> MikroTik RouterOS@RB450G (v4.17) -> AP TP-Link TL-WA901ND
Русский мануал по шейпингу трафика в сетевых экранах серии DFL
Полноценные неурезанные прошивки для DFL: http://tsd.dlink.com.tw

ВО! Собственно так и сделал. Но лочится всё кроме торрентов. Может all service не тот набор протоколов который отлавливает торренты ?!

Если каналы настроены правильно, то по идее всё должно работать, и отлов торрентов тут ни при чём, т.к. на шейпер пойдёт абсолютно весь трафик из подсети, указанной в качестве Source Network в Ripe Rules. Т.е. если в некоем общем канале с помощью группового шейпинга на 1 ip выделяется лимит в 1 Mbps на исходящий и 1 Mbps на входящий трафик, то в сумме на каждый отдельный ip из Source Network должно получиться ограничение, соответственно , в 2 Mbps в обе стороны суммарно (но жёсткого ограничения именно в 1 Mbps на аплоад и 1 Mbps на даунлоад на DFL получить невозможно по описанным мной ранее причинам).

_________________
Beeline (L2TP Dual Access) -> DFL-210 (f/w 2.26.00.06) -> MikroTik RouterOS@RB450G (v4.17) -> AP TP-Link TL-WA901ND
Русский мануал по шейпингу трафика в сетевых экранах серии DFL
Полноценные неурезанные прошивки для DFL: http://tsd.dlink.com.tw