Все что пока выяснилось , после загрузки системы, таблица на download не работает хотя все правила есть,  выполняем pf restart и таблица на download сразу начинает работать. Не исключено  глюк виртуальный например, virtio драйвера какие-то приоритеты загрузок хз.

Вопрос решён всем спасибо.

Поставили Freebsd 12 все работает, но 12 падала в корку... на виртуалке.. проверим еще раз. Остается загадка что в 11 версии не так.

нет не работает, проверяли работало, потом дали нагрузку пропал шейпер бред.

Поставили Freebsd 12 все работает, но 12 падала в корку... на виртуалке.. проверим еще раз. Остается загадка что в 11 версии не так.

да pf, - штатный с билинга.

реальный айпи по vpn Люди получают и шейпер работает.

а локальные айпи в vpn не работает скорость download если я добволяю правела 33000  skipto 46501 ip from table(11) to table(31)  выше цепочки 00400 skipto 450 ip from any to any recv vtnet0

начинают работать локальные нормально download/upload - но падают тогда совсем внешние ip - траффик не идёт. если правело 33000  skipto 46501 ip from table(11) to table(31)- загнать выше всех правел например 3 тогда работает все.. но у внешний айпи в двараза падает скорость как будто два раза проходит по правелам траффик. ))))

Код:

root@nasppp3:~ # ipfw show
00045        0           0 allow ip from any to 176.113.225.67
00045        0           0 allow ip from 176.113.225.67 to any
00046        0           0 allow ip from any to 10.36.36.100
00046        0           0 allow ip from 10.36.36.100 to any
00048    15370    19581568 allow ip from any to 192.168.50.0/24
00048    10543     1023579 allow ip from 192.168.50.0/24 to any
00049     1038      248342 allow ip from any to 176.113.225.68
00049      498       31104 allow ip from 176.113.225.68 to any
00050       10         400 allow tcp from any to me 22
00051       26        1144 allow tcp from me 22 to any
00052    11927      894244 allow tcp from any to me 1723 in
00053    10363      757516 allow tcp from me 1723 to any out
00054 12241013 10980486269 allow gre from any to any
00110    40324     5485770 allow ip from any to any via lo0
00120  4321929   663780895 skipto 1000 ip from me to any
00130        1          56 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160  8684355 10771200563 skipto 2000 ip from any to me
00200    54670    42696188 skipto 500 ip from any to any via vtnet0
00300  4303035   686176752 skipto 4500 ip from any to any in
00400  8402792 10654171605 skipto 450 ip from any to any recv vtnet0
00490  8429700 10655252900 allow ip from any to any
00500    22958    21290819 skipto 32500 ip from any to any in
00540    31712    21405369 allow ip from any to any
01000    26260     3096590 allow udp from any 53,7723 to any
01010 10323101  9212977048 allow tcp from any to any setup keep-state :default
01020  2438350  2198149331 allow udp from any to any keep-state :default
01100    19490     3311763 allow ip from any to any
02000        0           0 check-state :default
02010     7998      946682 allow icmp from any to any
02020        5         200 allow tcp from any to any 22,80,443,5006
02030        0           0 allow tcp from table(101) to any 3306
02050   164575    14756541 deny ip from any to any via vtnet0
02060    26277     1711210 allow udp from any to any 53,7723
02100      198       29651 deny ip from any to any
04500     1109       94955 allow ip from any to table(100)
05000  4257607   681140291 skipto 18503 ip from table(21) to table(11)
05001        0           0 allow ip from table(41) to table(11)
18500     2354      136122 fwd 127.0.0.1,8080 tcp from any to any 80
18501    20625     2229760 fwd 127.0.0.1,8081 tcp from any to any 443
18502    15053     1587819 deny ip from any to any
18503  4257607   681140291 pipe tablearg ip from table(21) to any
32000        0           0 deny ip from any to any
32490     6252      982881 deny ip from any to any
32500      107       16931 allow ip from table(100) to any
33000    22118    21189760 skipto 46501 ip from table(11) to table(31)
33001        0           0 allow ip from table(11) to table(41)
46500      732       84005 deny ip from any to any
46501    22118    21189760 pipe tablearg ip from any to table(31)
60000        0           0 deny ip from any to any
65535      124       17809 deny ip from any to any

Сории за сумбурность мыслей. Но в логике вроде все в порядке правел. Может из за того что виртуальная машина ? и какието баги с интерфейсами ? Хотя почему тогда внешние работают как положенно  по шейперу а локальные лежат...

а что в таблице 14 ?

Ребутнул машину убрал сети, оставил только интернет. В итоге такая картина

Код:

00050       2214        195114 allow tcp from any to me 22
00051       2925        407561 allow tcp from me 22 to any
00052    1131990      73280272 allow tcp from any to me 1723 in
00053    1032466      67826822 allow tcp from me 1723 to any out
00054 1168812509 1026639354914 allow gre from any to any
00110    3002777     528842490 allow ip from any to any via lo0
00120  422571852   78139188580 skipto 1000 ip from me to any
00130      38719       2168264 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160  816140431 1003771375489 skipto 2000 ip from any to me
00300  414072405   77274344206 skipto 4500 ip from any to any in
00400  785449010  978091509817 skipto 450 ip from any to any recv vtnet0
00490  787068036  978180073200 allow ip from any to any
00500          0             0 skipto 32500 ip from any to any in
00540          0             0 allow ip from any to any
01000    2700847     288012058 allow udp from any 53,7723 to any
01010  852476464  748720844004 allow tcp from any to any setup keep-state :default
01020  370377741  331257580463 allow udp from any to any keep-state :default
01100    1592746     381708993 allow ip from any to any
02000          0             0 check-state :default
02010    1203514     538761890 allow icmp from any to any
02020        121          5384 allow tcp from any to any 22,80,443,5006
02030          0             0 allow tcp from table(101) to any 3306
02060    2700896     179465078 allow udp from any to any 53,7723
02100    7659935     544182432 deny ip from any to any
04500     117567       8863728 allow ip from any to table(100)
05000  409899745   77002422628 skipto 18503 ip from table(21) to table(11)
05001          0             0 allow ip from table(41) to table(11)
18500      79018       4099225 fwd 127.0.0.1,8080 tcp from any to any 80
18501     501037      27144602 fwd 127.0.0.1,8081 tcp from any to any 443
18502    3466274     230946489 deny ip from any to any
18503  409899745   77002422628 pipe tablearg ip from table(21) to any
32000          0             0 deny ip from any to any
32490       8736        864148 deny ip from any to any
32500          0             0 allow ip from table(100) to any
33000          0             0 skipto 46501 ip from table(11) to table(31)
33001          0             0 allow ip from table(11) to table(41)
46500          0             0 deny ip from any to any
46501          0             0 pipe tablearg ip from any to table(31)
60000          0             0 deny ip from any to any
65535        141         21327 deny ip from any to any

Код:

ipfw table 11 list
0.0.0.0/0 0

download не работает,  upload работает шейпер. чудеса ( но их не бывает ) теперь смотрю в таблицу 31 вопще не чего не попадает хотя правела есть ip есть pipe есть.

Ситуация именно freebsd 11 - freebsd 10 NAS работает чётко. Что за фигня такая помогите.

Настроено согласно мануала, клиент по впн работает интернет есть, только download шейпер не работает.

Правела стандартные изменений нету система freebsd 11

Код:

00050 allow tcp from any to me 22
00051 allow tcp from me 22 to any
00052 allow tcp from any to me 1723 in
00053 allow tcp from me 1723 to any out
00054 allow gre from any to any
00110 allow ip from any to any via lo0
00120 skipto 1000 ip from me to any
00130 deny icmp from any to any in icmptypes 5,9,13,14,15,16,17
00160 skipto 2000 ip from any to me
00200 skipto 500 ip from any to any via vtnet0
00300 skipto 4500 ip from any to any in
00400 skipto 450 ip from any to any recv vtnet0
00490 allow ip from any to any
00500 skipto 32500 ip from any to any in
00540 allow ip from any to any
01000 allow udp from any 53,7723 to any
01010 allow tcp from any to any setup keep-state :default
01020 allow udp from any to any keep-state :default
01100 allow ip from any to any
02000 check-state :default
02010 allow icmp from any to any
02020 allow tcp from any to any 22,80,443,5006
02030 allow tcp from table(101) to any 3306
02050 deny ip from any to any via vtnet0
02060 allow udp from any to any 53,7723
02100 deny ip from any to any
04500 allow ip from any to table(100)
05000 skipto 18503 ip from table(24) to table(14)
05001 allow ip from table(44) to table(14)
05002 skipto 18504 ip from table(21) to table(11)
05003 allow ip from table(41) to table(11)
18500 fwd 127.0.0.1,8080 tcp from any to any 80
18501 fwd 127.0.0.1,8081 tcp from any to any 443
18502 deny ip from any to any
18503 pipe tablearg ip from table(24) to any
18504 pipe tablearg ip from table(21) to any
32000 deny ip from any to any
32490 deny ip from any to any
32500 allow ip from table(100) to any
33000 skipto 46501 ip from table(14) to table(34)
33001 allow ip from table(14) to table(44)
33002 skipto 46502 ip from table(11) to table(31)
33003 allow ip from table(11) to table(41)
46500 deny ip from any to any
46501 pipe tablearg ip from any to table(34)
46502 pipe tablearg ip from any to table(31)
60000 deny ip from any to any
65535 deny ip from any to any

не понятная ситуация куда смотреть вроде все работает, но приэтом шейпера нету на download.

Заметил одну особенность с таблицы 21 pipe попадает в трубу трафик, а с таблицы 31 не вижу в Pipe трафика хотя правила все созданны. и номера есть. по ipfw show видно что попадает в таблицу 31 тарффик.

увидил модуль всем спасибо ))))

так 2 версию я смотрю он платный, у меня просто nodeny plus мне покупать надо модуль ?

Возможно у вас не стоит
https://www.freshports.org/net/p5-Net-Flow

Возможно но например на 50 версии были модули Netflow в поставке а тут нету упоминания даже о pm и прочих файлах. я думаю у меня его нету.

Да нет его там модуля,  я не могу найти как его активировать, он же у вас в комплекте как и Ipcad не покупной но у меня почему-то нет. Возможно из за того что мы ревизии не делали ? или нет ?

Здравствуйте  не могу найти файл. netflow_8888.pl

cp /usr/local/nodeny/modules/netflow/netflow_8888.pl /var/db/flows/

Он создается автоматичиски ? по мануалу делаю.

https://app.nodeny-plus.com.ua/docs/work/netflow.html


Can't locate /usr/local/nodeny/kernel/collectors/netflow.pm in @INC  - не может найти.

Изменили названия сети и конфигурация в дефолт ушла. Включили модули, все ок стало.

Все в порядке.