Ограничение интернет трафика по IP в сети

Содержание

Обзор CommTraffic — системы учёта трафика

Ограничение интернет трафика по IP в сети

Интернет для многочисленных его пользователей стал неотъемлемой частью жизни. Редкая организация или частное лицо не заботится о количестве потребляемого интернет-трафика. Программ для учета трафика существует великое множество. Маленькие и большие, функциональные и не очень. Основные требования для таких программ — невысокая стоимость, удобная индикация, точный подсчет затрат, возможность предупреждения о возможных перерасходах средств. Система учета трафика CommTraffic удовлетворяет этим требованиям и позволяет вести эффективный мониторинг интернет-активности как на домашнем компьютере, так и в локальных сетях любой сложности.

Существуют две версии программы: для домашнего использования и профессиональная. Отличие версий сводится к наличию функций работы с локальными сетями, а также наличию отчетов.

Функции профессиональной версии: консоль и сервис могут работать на разных хостах, подключения могут быть защищены паролем, универсальные правила могут быть использованы для подсчета трафика с использованием различных атрибутов пакета, можно наблюдать неограниченное количество локальных сетей и хостов, подробная многоуровневая статистика по трафику, обновление статистики в режиме реального времени, а также экспорт отчетов в форматы HTML, XML, RTF и Excel. Функции домашней версии скромнее: в ней отсутствует работа с локальной сетью, количество наблюдаемых хостов равно пяти и нет экспорта статистики.

Функционально CommTraffic состоит из двух модулей: сервиса и консоли. Данные модули взаимодействуют с системой и друг с другом. Результатом этого взаимодействия является набор отчетов, генерируемых консолью. Сервис запускается при старте системы и работает в фоновом режиме, собирая и записывая данные в лог-файл. Причем работа его не зависит от того, работает консоль или нет. Консоль отвечает за визуальное представление информации: создает графики пропускной способности и дает возможность для настройки программы.

Прелесть такого построения системы заключается в возможности удаленного подключения к сервису и получения собранной информации. Данная структура, несомненно, может быть полезна администраторам как небольших, так и территориально распределенных сетей. Каждый сервис способен работать с несколькими консолями.

CommTraffic имеет в своем арсенале возможность настройки программы при помощи мастера в случае простой конфигурации сети или невысокой квалификации пользователя, а также имеет расширенный вариант настройки системы, который нужно задействовать в случае специфических настроек сети, количества сетевых адаптеров более одного или же в случае установки сервиса на компьютере-шлюзе.

В случае если ваша сеть имеет простую конфигурацию (одно интернет-подключение через диалап или локальную сеть), то достаточно воспользоваться мастером настройки. Выполняя инструкции мастера, вы сможете правильно сконфигурировать программу за короткое время.

Интерфейс и основные приемы работы с программой

Основное окно консоли напоминает консоль управления в операционной системе (древовидная структура).

Главное окно консоли

Выбирая тот или иной пункт в структурном списке в левой части, пользователь получает возможность настройки соответствующего пункта или доступ к статистике, собираемой сервисом программы.

Список видов делится на четыре группы:

  • монитор;
  • отчеты;
  • сенсоры;
  • настройки.

Монитор представляет собой два графика, отображающих значения входящего и исходящего трафика в реальном масштабе времени. Возможны различные варианты настроек для отображения графиков: изменение масштабов, видов представления данных, способов отображения сетки, присутствует возможность сохранения в виде BMP-файла. А также для суммарного отображения информации есть несколько вариантов: по объему информации, по времени, по расходам, по сенсорам. Имеется возможность добавления отображения суммарного трафика в реальном времени.

Мониторинг сетевой активности

В группе «Отчеты» пользователю доступны разнообразные статистически данные, собранные модулем сервиса. Сенсоры — это интересное функциональное решение разработчика, позволяющее пользователю устанавливать различные программные датчики, срабатывающие при наступлении прописанных в них событий. В группе же «Настройки» содержатся всевозможные настройки системы мониторинга. Остановимся подробнее на разделе «Отчеты».

В системе существуют следующие виды отчетности:

  • расходы;
  • локальные хосты;
  • удаленные хосты;
  • протоколы;
  • локальные порты;
  • удаленные порты.

Функция «расход» позволяет вести учет расходам на Интернет в реальном масштабе времени. За простой строчкой в строке отчетов скрывается мощный инструмент для создания всеобъемлющей системы учета. Для эффективной работы программы сначала нужно создать тарифы, на основе которых будет вестись подсчет расходов. Для этого нужно воспользоваться редактором тарифов (на странице настроек нужно выбрать редактор тарифов).

При добавлении нового тарифа программа позволяет выбрать интервал действия тарифа, вид учета трафика: по объему (с предоплаченным трафиком и без) или по времени соединения (с предоплаченным временем и без). А также позволяет выбрать цену за единицу потребленной информации как за входящий, так и за исходящий трафик. После того как тарифы созданы и настроены, можно добавлять свой вид учета расхода.

В диалоге можно задать период, в течение которого действует тот или иной расход, а также вид тарифа, на котором базируется расчет расходов.

Создание расхода (шаг 1)

Создание расхода (шаг 2)

В результате в окне «Расходы» будет создан отчет, отображающий статистику потребления средств в реальном масштабе времени. Наряду с подсчетом расходов система предоставляет обширные возможности для полного контроля над трафиком в локальной сети.

CommTraffic позволяет получать отчеты с разбиением трафика по локальным и удаленным хостам, протоколам, локальным и удаленным портам. Используя эту возможность, следует помнить, что при ее использовании скорость работы вашего компьютера может существенно уменьшиться.

Отчет «Локальные хосты» предоставляет информацию об интернет-трафике, генерируемом хостами в локальной сети.

Информация о трафике хостов локальной сети

Каждый компьютер отображается парой адресов — IP и MAC. Для удобства отображения программа поддерживает использование псевдонимов. Чтобы создать псевдоним для выбранного компьютера, нужно выделить указателем мыши в отчете «Локальные хосты» адрес и, используя контекстное меню, создать псевдоним, добавив его в таблицу IP-псевдонимов. В отчете «Удаленные хосты» программы представлено разделение интернет-трафика по удаленным хостам. Объем входящего, исходящего, суммарного трафика представлен в соответствующих колонках. По умолчанию программа отображает статистику за текущие сутки.

Для изменения периода достаточно нажать кнопку «Период» и выбрать нужный период. Система представляет предопределенные периоды, а также можно установить любой интервал, нажав кнопку «Другой». Отчет «Протоколы» дает полное представление для пользователя, по каким протоколам преимущественно идет обмен трафиком. Для квалифицированных пользователей программы будут интересны отчеты «Локальные порты» и «Удаленные порты». Данные в них содержат информацию о локальных и удаленных портах, которые используются в обмене трафиком.

Причем программа отображает состояние портов — открыт он или нет — в реальном масштабе времени.

Если ваш интернет-провайдер не предоставляет жестко фиксированных тарифов, то всегда есть риск перебрать либо время, либо трафик. Хорошо, если перебор будет мизерным, а если забыться и скачать парочку фильмов?! Для предотвращения такого рода конфузов в программе предусмотрено создание сенсоров.

Сенсоры позволяют задать различные модели поведения программы при наступлении того или иного события (превышения или достижения какого-либо порогового значения).

Причем вариантов моделей может быть превеликое множество:

  • показ определенного сообщения;
  • отправка сообщения на выбранный адрес;
  • сообщение пользователю домена;
  • проигрывание звукового файла;
  • выполнение команды.

Для создания предупреждения (сенсора) нужно выбрать в дереве видов пункт «Сенсоры» и в окне выбрать кнопку создания нового сенсора.

В появившемся диалоге предлагается назвать новый сенсор, далее предлагается выбор вида лимита, а также период действия предупреждения, на следующей странице будет предложено ввести значения ограничения трафика (объем трафика, время соединения или цена в зависимости от типа сенсора), начальное значение (необязательный параметр) и порог срабатывания сенсора в процентах от максимального значения. Например, при создании сенсора с ограничением по объему трафика в 1000 Мб и порогом 90% вы будете оповещены о превышении допустимого объема при достижении сенсором значения 900 Мб.

Результат работы сенсора

Единственным неудобством такого вида контроля над расходом является обязательное присутствие установленной и запущенной консоли CommTraffic.

Настройки программы

Настройки системы разделены на следующие группы:

  • настройки сети;
  • настройка интерфейса консоли;
  • настройки системы, относящиеся к консоли;
  • редактор тарифов;
  • редактор праздников.

Раздел, посвященный сети, является одним из важнейших в программе. Как мы отмечали выше, у пользователя есть два пути настройки работы с сетью. Первый — использование мастера, второй путь — вручную настроить работу системы с сетевыми адаптерами. Выбирая варианты в мастере настройки, неквалифицированный пользователь сможет быстро настроить работу программы для мониторинга трафика в сети простой конфигурации.

В случае сложной конфигурации сети нужно воспользоваться ручной настройкой системы. Например, сеть состоит из двух сегментов локальной сети с адресами типа 192.168.*.*, которые подключены к двум сетевым адаптерам, находящимся в сервере. Через третий сетевой адаптер сервер подключен к выделенной линии провайдера. В таком случае для настройки CommTraffic нужно воспользоваться расширенными возможностями.

В пункте настроек «Адаптеры» нужно перейти на страницу «Настройки — Сеть — Адаптеры».

Настройка адаптеров (шаг 1)

Перейдя на вкладку провайдеров, выберите провайдера из списка. Если потребуется добавить нового, нажмите «Добавить провайдера».

Настройка адаптеров (шаг 2)

Этими действиями вы настроите программу на сбор трафика с нескольких адаптеров относительно одного провайдера. Дальнейшие действия такие: нужно задать области адресов, относящихся к вашей локальной сети (сетям):

Настройка адаптеров (шаг 3)

И в завершение настройки нужно повторить вышеуказанные шаги несколько раз для всех адаптеров. Но это далеко не все возможности программы CommTraffic. В системе предусмотрена возможность вводить игнорируемые сети, то есть сети, трафик которых не учитывается провайдером. Также в программе предусмотрена возможность наличия в наблюдаемой сети прокси-сервера.

Ко всему этому великолепию настроек стоит присовокупить возможность настройки правил для входящего и исходящего трафика, что поможет системному администратору в точной настройке учета трафика в сети с топологией любой сложности.

К несомненным плюсам программы стоит отнести наличие интерфейса на русском языке, службу поддержки, а также очень внятное и понятное руководство пользователя с примером составления правил учета трафика, а также синтаксисом этих правил.

Заключение

Итак, что же в сухом остатке? Программный продукт CommTraffic отлично показал себя в деле учета трафика как на локальном компьютере с использованием модемного соединения, так и в локальной сети, производя мониторинг интернет-активности нескольких клиентов. С учетом простоты настройки, множества полезных возможностей, а также невысокой стоимости выбор в пользу этой системы для многих пользователей будет предопределен. Посмотреть стоимость и условия приобретения

Источник: https://www.ixbt.com/soft/commtraffic.shtml

Микротик ограничение скорости. Настройка приоритета трафика (QoS) — ИТ Проффи

Ограничение интернет трафика по IP в сети

В статье подробно описано, как настроить на Микротике ограничение скорости по отдельному ip или на целую сеть, ограничение на интерфейсе и физическом порту. А также настройка приоритета трафика (QoS), для sip, tv и других сервисов. Все настройки будут производиться через программу winbox.

Если у Вас версия RouterOS выше 6.29, то перед настройкой шейпера убедитесь. что в firewall отключен fasttrack, эта технология позволяет увеличить производительность маршрутизатора, но если она включена, то шейпить скорость не получится. Заходим в меню  на вкладке Filter Rules,  ищем правило fasttrack connection. Если такое правило существует, то отключаем или удаляем его.

Ограничение скорости интернета на все ipадреса в подсети.

Предположим, провайдер предоставляет нам интернет канал 50 Мбит/сек. Стоит задача: для каждого пользователя ограничить канал до 5 Мбит/с.

Создадим  новый тип. Для этого заходим в меню Queue вкладка Queue Types. И нажимаем на кнопку «+» добавить.

TypeName – имя нового типа

Kind – тип, принимает следующие значения
bfifo – тип основанный на алгоритме First-In First-Out, Первый-пришел первый ушел, размер очереди определяется в байтах параметром queue size, если очередь переполнена, то остальные пакеты отбрасываются.

pfifoто же самое что и bfifo, только размер не в байтах, а в пакетах
mqpfifoтот же pfifo с поддержкой нескольких очередей
red — Random Early Drop — это механизм очередей, который пытается избежать перегрузки сети, контролируя средний размер очереди.

Средний размер сравнивается с двумя порогами: минимальным (минимальным) и максимальным (максимальным) порогом. Если средний размер (avgq) меньше минимального порога, пакеты не отбрасываются. Когда средний размер очереди больше максимального порога, все входящие пакеты удаляются.
sfq — Stochastic Fairness Queuing (SFQ) обеспечивается хешированием и циклическими алгоритмами.

Трафик может быть однозначно идентифицирован с помощью 4 параметров (src-адрес, dst-адрес, src-порт и dst-порт), поэтому эти параметры используются алгоритмом хэширования SFQ для классификации пакетов в один из 1024 возможных подпотоков. Затем алгоритм round-robin начнет распространять доступную пропускную

способность для всех подпотоков, причем каждый раунд дает байты трафика sfq-allot. Вся очередь SFQ может содержать 128 пакетов и доступно 1024 подпотока.
pcq – то же что sfq,  но с возможностью ограничить скорость потоков

Более подробно о типах можно прочитать здесь https://wiki.mikrotik.com/wiki/Manual:Queue#Kinds

Для ограничения ширины канала выбираем тип pcq, в поле Rate указываем значение скорости. В нашем случае 3M. Нам нужно ограничить 3 Мбит/c на вход и на выход, поэтому ставим галочки напротив Dst. Address и Src.Address. Если нам нужно не симметрично ограничить канал, скажем на загрузку 3Мбит/c, а на отдачу 5Мбит/c, то нужно создать два типа, на загрузку и на отдачу с соответствующими параметрами. Остальные поля оставляем как есть.

Читайте также  Подключение к локальной сети в Windows 10

Остальные поля pcq типа

Limit — размер одного подпотока
Totallimit — максимальное количество данных в во всех подпотоках
BurstRate, Burst Threshold, Burst Time  — довольно интересные параметры, рассмотрим их более подробно.
BurstRateдословно «взрыв скорости» если мы сделаем настройки как показаны на рисунке.

То это будет работать так: если пользователь допустим начнет закачку файла, то сначала канал  у него будут 10Мбит/c, параметр Burst Rate, и такая скорость будет в течении 3-х минут, параметр Burst Time, далее скорость вернется к значению Rate.

Если пользователь не будет некоторое время скачивать и у него использование интернет канала опустится меньше 512 Кбит/c, значение Burst Threshold , то при следующем использовании интернета, первые 3 минуты пользователь будет пользоваться каналом со значением  Burst Rate.

Это бывает очень полезно, скажем когда пользователи просто ходят по страницам в интернете, то скорость загрузки страниц у них будет 10 Мбит, а если они начнут качать большие файлы, то через три минуты скачивание будет всего 5 Мбит/c.
Поля раздела Classifer думаю понятны без объяснений, это адрес, порт источника и назначения, а также маски адресов. Более подробно о типе pcq читайте здесь https://wiki.mikrotik.com/wiki/Manual:Queues_-_PCQ.

Следующим шагом применим наши созданные правила. Заходим на вкладку Simple Queues и добавляем очередь.

Name – имя нашей очереди

Target – цель. Здесь прописываем нашу подсеть

Остальные поля не заполняем, если вы встречали статьи где нужно прописывать Max Limit, то могу сказать что это не обязательно, работать будет и с параметром unlimited. Далее переходим на вкладку advanced и выбираем в качестве Queue type. Созданные выше типы.

Нажимаем кнопку ОК. На этом настройки закончены. Теперь любой компьютер c ip адресом из подсети 192.168.7.0/24 будет ограничен шириной канала в 3Мбит/с.

Ограничение на интерфейсе

Для ограничения на порту зайдите на вкладку Interface Queue, выберите нужный интерфейс и примените к нему созданное выше правило.

В примере на порту eth6 будет применено ограничение в 3Мбит/с

Ограничение скорости с помощью маркировки пакетов и QueuesTree на всю сеть

Если нужно ограничить ширину канала на одну или несколько сетей, а также на отдельные ip адреса то этот можно сделать с помощью маркировки пакетов .

Заходим в меню IP-Firewall, вкладка Address Lists создаем новый адрес лист с нашей сетью.

Также в этот лист можно добавить и отдельные ip адреса, а не сеть, скажем если они идут не по порядку, допустим 192.168.7.11, 192.168.7.87, 192.168.7.199.

Далее переходим на вкладку Mangle , здесь добавляем два правила. На вкладке General, поле Chain выбираем forward

Переходим в advanced и в поле Src. Address List выбираем лист созданный на первом шаге

Идем на вкладку Action. Здесь в поле action выбираем маркировку пакетов markpacket и пишем как будем маркировать, например upload.

Аналогично создаем еще одно правило на download. Только уже будет Dst. Address List и маркировка download.

Нажимаем Ок. Теперь все пакеты идущие из сети 192.168.7.0/24 будут маркироваться как upload, а пакеты идущие в эту сеть как download.

Теперь идем в меню Queues, вкладка Queues tree и добавляем правило.

Name – имя

Parentвыбираем global

PacketMarks выбираем маркировку созданную ранее upload

LimitAT гарантированная скорость, т.е если у нас скажем общий канал 10 Мбит/c и мы создаем две очереди с максимальной шириной канала по 10 Мбит. То если вторая очередь заняла скажем канал на 8 Мбит, то нашей остается всего 2 Мбит, параметром Limit AT мы указываем, что гарантируем канал в 5 Мбит. т.е если в нашей очереди начнут интенсивно использовать интернет, то приоритет у нашей очереди увеличится, а у второй очереди уменьшится и скорость поделится по 5 Мбит

MaxLimitмаксимальная скорость. Это и есть наше ограничение скорости.

Нажимаем ОК и аналогично создаем очередь на загрузку

Если все сделали правильно, то мы увидим наши созданные queue и загрузку по ним.

Этот способ удобно использовать когда список сетей или адресов на ограничение часто меняется, тогда их просто можно добавлять или удалять в адресных листах. Если же адреса для ограничения меняются не часто, то удобнее использовать simple queus.

Simple Queues

Более простой способ ограничения скорости делается через вкладку Simple Queues. Заходим на эту вкладку нажимаем добавить

В поле name пишем имя в target нашу сеть. Max Limit ограничения на загрузку и на отдачу

Нажимаем ОК, На этом настройка завершена, теперь вся сеть 192 .168.7.0/24 ограничена в 10Мбит, про Burst Limit я писал выше, здесь это работает также. Если нам нужно ограничить скорость не на всю сеть, а на отдельный ip адрес, то просто в поле target прописываем этот ip.

Приоритезация трафика на Mikrotik

Если нужно настроить приоритизацию трафика на Mikrotik то это делается через параметр Priority в настройка Queues tree.

Или на вкладке Advanced в Simple Queues.

Приоритет принимает значение от 1 до 8. Чем меньше значение, тем выше приоритет, т.е очередь с priority 1 будет обрабатываться самой первой, а с 8 последней. Например если у вас есть сервер ip телефонии asterisk с ip 192.168.7.10, то для него лучше сделать настройки такие.

Если нам нужно настроить приоритет определенного типа трафика, например SIP, VoIP или IpTV не привязываясь к ip адресам. То сделать это можно с помощью Mangle и Queues Tree, как это сделать я писал выше, только маркируем пакеты не по ip а по протоколу и порту. Например для маркировки пакетов на порт 5060 будет выглядеть так.

Комбинируя выше указные способы можно очень гибко настроить шейпинг скорости и приоритет трафика. Также надо отметить что настройки в Queue Tree имеют больший приоритет чем в simple Queues.

Обучающий курс по настройке MikroTik

Нужно разобраться с MikroTik, но не определились с чего начать? В курсе «Настройка оборудования MikroTik» все по порядку. Подойдет и для начала работы с этим оборудованием, и для того, чтобы систематизировать знания. Это видеокурс из 162 уроков и 45 лабораторных работ, построен на официальной программе MTCNA. Проходить можно, когда удобно и пересматривать по необходимости – материалы курса выдаются бессрочно. Также есть 30 дней на личные консультации с автором. На пробу выдают 25 уроков бесплатно, заказать их можно на странице курса.

, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Источник: https://ITProffi.ru/mikrotik-ogranichenie-skorosti-nastrojka-prioriteta-trafika-qos/

Ограничение интернет трафика по ip в сети

Ограничение интернет трафика по IP в сети

› Компьютеры

Доступ в Интернет есть практически на каждом компьютере. Для того, чтобы следить за трафиком существуют специальные программы, лучшие из которых мы объединили в обзоре. С помощью утилит для мониторинга сетевых данных можно контролировать объем переданной информации, блокировать доступ для определенных процессов и отслеживать маршрутизацию пакетов.

Все утилиты в подборке мы разделили на программы, предназначенные для работ на том ПК, на котором они установлены, и инструменты, «заточенные» под мониторинг трафика в локальной сети.

Кроме уже привычных критериев «Функционал» и «Интерфейс» мы оценили универсальность утилит в блоке «Применимость». Чем выше значение, тем больше программа подходит для использования на домашних и серверных машинах.

Блокировка процессовКачество визуализации трафикаЖурнал событийФильтрация по URLМониторинг удаленных ПКРусский языкЛицензия
NetWorx Нет Высоко Нет Нет Нет Да Бесплатно в течение ограниченного периода
NetLimiter Да Средне Нет Нет Нет Да Бесплатно в течение ограниченного периода
Network Meter Нет Средне Нет Нет Нет Нет Бесплатно
GlassWire Да Высоко Да Нет Нет Нет Бесплатно с ограничениями
CommView Нет Средне Да Нет Да Да Бесплатно в течение ограниченного периода
NetworkTrafficView Нет Средне Да Нет Нет Да Бесплатно
TMeter Да Средне Да Да Да Да Бесплатно с ограничениями
NetPeeker Да Средне Да Нет Да Нет Бесплатно в течение ограниченного периода
Total Network Monitor Нет База Да Нет Да Да Бесплатно в течение ограниченного периода

Программы для учета трафика интернета компьютера

Программы в данной категории предназначены для контроля и подсчета трафика Интернет на текущем компьютере. Чаще всего их применяют в случае, если используется тарифный план с ограниченным объемом сетевого трафика, это позволяет вовремя запретить доступ в Сеть и избежать дополнительных расходов.

Простая программа для подсчета трафика в онлайн-режиме. С помощью этой утилиты на основании обработанных данных можно сформировать отчет за стандартный период – день, неделя, месяц. Кроме того, можно задать свой временной отрезок для анализа, а также выполнить захват данных для определенной учетной записи. Сведенная информация доступна в виде графика, есть возможность экспорта статистики в файл-отчет в форматах HTML, XLS и TXT.

Бесплатная версия программы работает в течение месяца с момента инсталляции. Стоимость регистрационного ключа — чуть менее 30 долларов.

Неплохой анализатор трафика с функцией блокировки соединения для определенной активности (встроенным фаерволом). «Фишка» программы — это возможность ограничения скорости доступа для указанного процесса, таким образом можно «очистить» Интернет-канал от наиболее «тяжелых» активностей. При необходимости можно задать шейпинг для всего сетевого подключения на уровне адаптера. Поддерживается возможность анализа скрытых процессов и функция назначения прав доступа.

Слежение за объемом переданных и полученных данных выполняется в онлайн-режиме, есть возможность формирования отчетов, в том числе и графических.

Trial-период использования NetLimiter – 25 дней. Цена лицензии как и в случае с NetWorx составляет около 30 долларов США.

Крохотная бесплатная утилита для обработки трафика в real-time-режиме. Она позволяет анализировать переданные (Upload) и полученные (Download) данные, пропущенные через каждый сетевой адаптер. При этом можно проанализировать трафик с нескольких сетевых карт одновременно. Полученная информация отображается в виде графика и таблицы со сведенной информацией. Значения выводятся в главном окне программы, перенести их в текстовый файл или другой документ не получится из-за отсутствия возможности экспорта отчетов.

Мощная утилита, которая выгодно отличается от других программ за счет качественных визуальных отчетов. Функционал программы находится на высоком уровне – встроенный фаервол, отдельный блок для формирования статистической информации за указанный период, возможность управления удаленными подключениями и развитая система уведомлений. При отображении удаленного IP адреса показывается флаг страны, к которой относится сетевой идентификатор.

Правда, не все функции утилиты доступны без регистрации. Бесплатная версия GlassWire позволяет анализировать данные за ограниченный период (месяц) и не содержит функцию отправки оповещений в случае обнаружения нового соединения. Цена полной версии зависит от времени, в течение которого хранится история, и начинается от 50 долларов США.

Программы для мониторинга трафика в локальной сети

Подобные программы предназначены для контроля трафика Интернет в домашней или корпоративной сети и они могут устанавливаться как на компьютеры под управлением Windows 10, XP, 7, так и на машины на базе серверных версий Windows.

Специализированный инструмент для отслеживания пакетов. С помощью программы можно смотреть статистику трафика в онлайн и офлайн режимах, формировать отчеты с захваченными IP соединениями и визуализировать их. Поддерживается возможность быстрого анализа неизвестных IP адресов посредством сервиса SmartWhois, есть возможность просмотра списка приложений, которые инициируют сетевое подключение. Программа совместима с более 100 сетевыми протоколами и популярными адаптерами. При необходимости можно следить за дистанционными машинами посредством модуля Remote Agent.

Пробный период использования программы – месяц. Цена лицензии для стандартной версии CommView составляет чуть менее 400 долларов, за поддержку протокола VoIP придется доплатить еще столько же.

Данная программа предназначена для анализа всех сетевых процессов и получения сведений об адресе инициатора трафика, конечной цели обращения, используемых портах, типе соединения и других данных. Готовые отчеты можно перевести в гипертекстовый формат.

Для более удобного анализа можно применить фильтр, исключив из отчета процессы с небольшим объемом данных или малым количеством пакетов. Сохранить настройки фильтрации можно в виде файла конфигураций.

Одна из самых многофункциональных программ в обзоре. TMeter обрабатывает пакеты вне зависимости от типа используемого протокола, позволяет графически показывать проанализированную информацию, в том числе и строить отчеты с деталями о захваченных данных. С помощью интегрированного фаервола можно запрещать подключение не только для указанного процесса, но и управлять доступом для определенного пользователя ПК или сетевой машины.

TMeter поддерживается возможность создания единой точки доступа в Интернет для нескольких компьютеров под одним IP-адресом (NAT сервер), эта функция очень популярна среди корпоративных пользователей. Кроме этого, в программе есть опция активации шейпинга после достижения определенного объема трафика.

В утилиту включен собственный сервер авторизации, его можно применять для слежения за данными каждого аккаунта.

Free-версия программы не позволяет задавать более четырех фильтров. Стоимость полной версии зависит от количества встроенных инструментов для фильтрации и начинается от 20 долларов.

Любой администратор рано или поздно получает инструкцию от руководства: «посчитать, кто ходит в сеть, и сколько качает». Для провайдеров она дополняется задачами «пустить кого надо, взять оплату, ограничить доступ». Что считать? Как? Где? Отрывочных сведений много, они не структурированы. Избавим начинающего админа от утомительных поисков, снабдив его общими знаниями, и полезными ссылками на матчасть.
В данной статье я постараюсь описать принципы организации сбора, учёта и контроля трафика в сети. Мы рассмотрим проблематику вопроса, и перечислим возможные способы съема информации с сетевых устройств.

Это первая теоретическая статья из цикла статей, посвящённого сбору, учёту, управлению и биллингу трафика и IT-ресурсов.

Структура доступа в сеть Интернет

В общем случае, структура доступа в сеть выглядит следующим образом:

Источник: https://trprint3d.ru/ogranichenie-internet-trafika-po-ip-v-seti/

[РЕШЕНО] Как ограничить скорость раздачи WiFi для других пользователей?

Ограничение интернет трафика по IP в сети

Что делать, если вы сталкиваетесь с проблемами при пользовании интернета, когда к вашей домашней сети подключено много устройств. Решение одно — нужно ограничить их трафик. Ниже рассмотрим, как ограничить скорость раздачи wifi для других пользователей на самых популярных моделях роутеров.

Читайте также  Настройка беспроводной сети компьютер компьютер Windows 10

Какие возможности даст ограничение трафика?

Ограничение скорости нужно, когда трафика на все устройства домашней сети не хватает, и какое-то из устройств испытывает проблемы с подключением к интернету. К примеру, если на одном ПК идет загрузка файла через торрент, он может расходовать весь трафик, и другие пользователи будут испытывать трудности с пользованием интернета. Чтобы этого не происходило, можно грамотно распределить предельные скорости на каждый клиент домашней сети, либо же ограничить трафик для всех пользователей, подключаемых по воздуху (и у вас не будет проблем с интернетом, если вы подключены к роутеру по проводу).

TP-Link

Для начала рассмотрим, как ограничить скорость интернета на роутере для всех клиентов данной сети. Для таких целей на роутере TP-Link есть опция контроля пропускной способности (или Bandwidth control). Пошаговая инструкция, как уменьшить скорость WiFi для всех подключенных пользователей:

  1. Открываем панель управления роутера. Для этого требуется открыть браузер и ввести в адресную строку сверху IP-адрес устройства – «192.168.1.1» или «192.168.0.1». Также потребуется прописать логин и пароль для авторизации. Подойдет стандартная комбинация admin/admin, если вы ее не меняли до этого.
  2. При желании можно ограничить не только скорость раздачи интернета, но и количество одновременно подключаемых клиентов. Для этого открываем пункт «Guest Network» и в строке «Max Guest Numbers» прописываем необходимое число.
  3. Теперь кликаем по тому самому пункту «Bandwidth Control». В первой же строке нужно поставить галочку, чтобы активировать контроль. Ниже есть две строки для ввода параметров. Первая – это максимальная исходящая скорость соединения, вторая – максимальная входящая скорость.
  4. После того, как необходимые значения введены, нажимаем по кнопке «Save» и выходим из панели управления роутером. Теперь его необходимо перезагрузить, чтобы изменения вступили в силу.

В более новой версии прошивки меню Bandwidth Control выглядит несколько иначе, однако опции все те же.

Мы разобрались, как ограничивать скорость всем подключенным устройствам без исключения, но можно ли ограничить скорость раздачи вай фай на роутере TP-Link для конкретного пользователя или нескольких? Да, ниже разберем подробнее, как это осуществить:

  1. Точно также открываем веб-панель роутера, набрав адрес и авторизовавшись.
  2. После этого переходим к разделу «DHCP», затем кликаем на подраздел «DHCP Clients List». Здесь отображен список подключенных к точке доступа устройств. Нужно скопировать MAC-адрес клиента, которому вы хотите ограничить скорость.
  3. Теперь переходим в другой подраздел «Address Reservation». Вставляем из буфера обмена сохраненный адрес, прописываем свободный IP (который всегда будет назначаться для этого адреса) и выбираем в третьей строке опцию «Enabled». После этого сохраняем параметры, нажав на «Save».
  4. Теперь снова открываем раздел «Bandwidth Control», после чего переходим в подраздел «Rules List» («Список правил»). Добавляем правило для заданного IP-адреса и назначаем предельные скорости. Если вы добавили несколько MAC адресов, то назначайте соответственно диапазон IP-адресов, для которых будет действовать данное правило.

Данный способ не поможет, если MAC адрес устройства будет меняться, а на компьютере изменить его довольно легко. В этом случае нужно сделать наоборот – запретить всем устройствам пользоваться интернетом, кроме заданных. Подробная инструкция:

  1. Открываем раздел «Wireless», затем переходим в подраздел «Wireless MAC Filtering».
  2. Активируем функцию MAC фильтрации.
  3. Добавляем новое правило, кликнув по кнопке внизу «Add new».
  4. Прописываем адрес своего ПК и устанавливаем опцию «Enable». То же самое нужно сделать и для других устройств, которые подключаются к вашей сети.
  5. После проведенных действий нужно сохранить параметры и осуществить перезагрузку маршрутизатора.

D-Link

В роутерах от производителя D-Link отсутствует функция ограничения скорости входящего и исходящего трафика по воздуху, подобная той, что реализована в TP-Link. Тем не менее, вы можете запретить конкретным пользователям подключаться к вашей сети, чтобы они не расходовали ваш трафик, либо разрешить подключаться только определенному кругу устройств.

Сначала рассмотрим, как сделать так, чтобы подключаться можно было только определенным устройствам:

  1. Открываем веб-интерфейс, заходим в раздел «Wi-Fi», далее кликаем на строку «MAC-фильтр» и «Режим фильтра». У фильтра есть три режима: «Отключен», «Разрешен» и «Запрещен». Если установлен первый, то фильтр деактивирован, и к точке доступа могут подключаться любые устройства. Если установлен второй – значит, что доступ разрешен только тем адресам, адреса которых указаны в фильтре. Выбираем второй.
  2. Далее кликаем на другой подраздел «МАС-фильтра» — «МАС-адреса». Здесь нужно указать все адреса устройств, которым вы хотите разрешить доступ (в первую очередь, данному ноутбуку).
  3. Нажимаем «Применить», чтобы изменения вступили в силу.
  4. Затем переходим к вкладке «Система» вверху и нажимаем на «Сохранить».

Чтобы запретить конкретным устройствам доступ к вашей сети, нужно вместо режима «Разрешен» активировать «Запрещен». В этом случае перечисленным MAC-адресам не получится подсоединяться к вашему маршрутизатору.

Что касается устройств, подключенных по кабелю через LAN порт, им можно ограничить скорость. Для этого нужно зайти в раздел «Дополнительно», затем кликнуть по строке «Управление полосой пропускания».

Выбираем порт, к которому подключено конкретное устройство, и ограничиваем скорость.

После установки нужно нажать на кнопку «Применить», чтобы изменения вступили в силу.

Также, чтобы ограничить общую скорость по беспроводной сети, можно просто установить другой режим работы в параметрах WiFi.

Переходим в раздел «Wi-Fi» и открываем «Основные настройки». Вместо текущего режима в строке «Беспроводной режим» выбираем другой, к примеру 802.11g, чья скорость ограничена всего 54 Мбит/сек.

Asus

На роутерах этого производителя также отсутствует функция ограничения трафика для конкретных клиентов. Но есть инструмент, позволяющий регулировать скорость для различных типов программ, расходующих интернет трафик.

Для контролирования скорости соединения в роутере Asus есть раздел под названием «Диспетчер трафика», который находится в меню слева. Здесь можно управлять трафиком, устанавливая разные приоритеты для различных задач. К примеру, если для вас более приоритетны онлайн-игры, и менее важен веб-серфинг и загрузки файлов через торрент-программы, то вы можете вручную это указать.

И вы, играя в онлайн-игры, не будете испытывать неудобств, когда кто-то в домашней сети с другого устройства будет смотреть фильмы онлайн или закачивать большие файлы, потому что их скорость будет ограничена.

Если вы хотите вообще понизить скорость беспроводного соединения для всех подключаемых по воздуху пользователей, достаточно просто сменить беспроводной режим работы маршрутизатора.

В строке «Режим беспроводной сети» нужно сменить «Авто» на любое другое значение и проверить скорость изменилась ли или нет. Если установлен режим 802.11n, то она будет ограничена 150 Мбит/сек, если более старый протокол 802.11g – 54 Мбит/сек. Таким образом, если вы подключены к роутеру по проводу, а другие устройства – только по воздуху, они не смогут забрать весь трафик (при условии, что скорость, предоставляемая вашим провайдером, достаточно высокая).

Huawei

В маршрутизаторах Huawei также отсутствует функция ограничения скорости для указанных клиентов. Но можно ограничить ее для всех пользователей, подключающихся по воздуху. Для этого нужно зайти в панель управления роутера, слева найти раздел «Общие настройки», а далее перейти к «WLAN». Здесь в строке «Режим» выбираем иной режим работы Wi-Fi, к примеру, 802.11g (скорость при этом будет ограничена 54 Мбит/сек) или даже 802.11b (до 11 Мбит/сек).

После изменения режима не забудьте сохранить параметры.

Zyxel keenetic

Для роутеров марки Zyxel доступна функция ограничения входящего и исходящего трафика для подключенных устройств. Но для ее активации требуется установить «Шейпер трафика» (другое название – «Управление пропускной полосой сетевых узлов и интерфейсов»).

Чтобы ограничить скорость для конкретного устройства, требуется в панели настроек маршрутизатора перейти к разделу «Домашняя сеть», затем открыть вкладку «Устройства».

В списке подсоединенных клиентов нужно выбрать необходимый и кликнуть по нему. Появится окошко, в котором данное устройство следует зарегистрировать. Тут же и находится пункт «Ограничение скорости», в котором можно прописать желаемую величину в кбит/с. То есть, если вы хотите ограничить трафик цифрой в 10 Мбит/сек, нужно прописать число 10000. После указания скорости нужно кликнуть на клавишу внизу «Зарегистрировать». Теперь при каждом подключении данный пользователь будет идентифицироваться системой роутера, которая активирует для него это правило.

Вам удалось ограничить скорость на вашем роутере? Может быть у вас появились какие-либо вопросы или проблемы?

Источник: https://RazdavayWiFi.ru/kak-ogranichit-skorost-razdachi-wifi-dlya-drugih-polzovatelei.htm

Установка и снятие ограничений скорости интернета

Ограничение интернет трафика по IP в сети

Начнём с самого быстрого способа (но не самого безопасного) – изменения аппаратных настроек сетевой карты. Если говорить совсем точно, то это принудительное вмешательство в работу системы и сетевой карты. Разберемся, как ограничить скорость интернета на компьютере.

Ограничивается скорость путём изменения быстродействия пропускной способности локальной сети. Это даёт возможность самостоятельно уменьшить быстродействие локальной сети на домашнем ПК. Распределение идет по трём типам доступа:

  • до 10 МБ/с;
  • от 10 и до 100 мб/сек;
  • от 100 мб в секунду и до 1000 Мегабит/с.

Всё что нужно – это зайти в настройки сетевой карты и выбрать самый медленный тип доступа в интернет (до 10 мб/сек). Теперь ваша сеть просто не сможет выходить в интернет на высокой скорости. Но помните, что такие манипуляции могут негативно сказаться на дальнейшей работе карты.

Как ограничить скорость интернета роутером

Изменение аппаратных настроек роутера может подойти не всем. Способ работает только для проводных (локальных) соединений. Также немаловажно то, что это принудительный («аварийный») метод, который позволяет уменьшить быстродействие сети. Логичнее будет поставить ограничение на WiFi роутере, с помощью которого вы выходите в сеть Internet.

Отрегулируйте настройки роутера таким образом, чтобы скорость передачи данных не превышала тот порог, который вы зададите. Windows не позволяет сделать это с рабочего стола, поэтому придётся разбираться в настройках маршрутизатора.

Каждый производитель по-разному реализует данную возможность на своих WiFi роутерах.

Программы для ограничения скорости интернета на компьютере

Так как в Windows нет приложения или функции, позволяющей производить контроль скоростных показателей интернета, пользователи сами создали такие инструменты.

Существует множество утилит, которые дают возможность уменьшить максимальную пропускную способность сети Internet в несколько кликов, например:

  • Traffic Inspector. Утилита предоставляет тридцать дней бесплатного пользования (для ознакомления со всеми возможностями);
  • NetLimiter. Программа распространяется на бесплатной основе, с возможность покупки PRO версии.

Такое ПО распространяется бесплатно, но имеются и «продвинутые» версии с более тонкой настройкой контроля за сетью. За такие версии придётся заплатить определённую сумму.

Обычно такие программы имеют комплексную структуру. Словом, с помощью них вы сможете не только поставить ограничение скорости интернета на компьютере, но и производить контроль скорости интернета: отслеживать, разделять и распределять интернет трафик

Как снять ограничение скорости передачи данных

Перед тем, как снять ограничение скорости интернета, нужно разобраться в причинах ограничения.

Почему скорость может урезаться и как обойти ограничение:

  • ограничение доступа со стороны провайдера (интернет оператора). Провайдер ограничивает скорость в нескольких случаях: у вас закончился лимит интернет трафика по тарифу, вы не заплатили абонентскую плату или на тарифе стоит изначально низкая скорость. Во всех этих случаях вам придётся решать вопрос с провайдером;
  • лишние пользователи wireless подключения. Всегда защищайте домашний WiFi паролем, чтобы любители бесплатного сыра не пользовались вашим интернетом. Такие посягательства могут ощутимо ограничивать скоростные показатели вашей сети;
  • автообновления ПО и операционной системы. Многие пользователи интернета даже не знают, куда уходят их сетевые ресурсы компьютера. И чаще всего – это автообновления программ и операционной системы, которые имеют привычку включаться без уведомления. Отключите эту функцию, если не хотите остаться с медленным интернетом в ответственный момент;
  • активные загрузки. При начале работы в интернете отключите все закачки на торрентах, в менеджерах загрузок и активных браузерах. Такие моменты дают значительную нагрузку на сеть, что приводит к ограничению скорости передачи данных;
  • очистка браузеров. Во время работы в браузере, значительные ограничения может накладывать «мусор», который скопился за всё время пользования. Это файлы cookie, «забитый» кэш, множество сохраненных данных и так далее. Займитесь «уборкой» своего браузера, чтобы увеличить быстродействие;
  • план энергопотребления. Иногда вашей сетевой карте банально не хватает электроэнергии. Причины могут быть разные, но метод решения проблемы один – измените план энергопотребления в настройках системы. Это позволит карте задействовать больше ресурсов, что приведёт к увеличению быстродействия сети;
  • вирусное ПО и вирусы. Если на вашем компьютере есть вирусы – это серьёзно ограничивает возможности вашей сети. Проверьте ПК на наличие вирусов и устраните их;
  • настройка планировщика пакетов QoS. Если вы разбираетесь в настройках компьютера, то знаете, что многие параметры можно изменить через QoS. Проделайте то же самое со скоростью соединения и снимите заводские ограничения;
  • неправильная настройка маршрутизатора (роутера, модема, мобильного устройства и так далее). Сверьтесь со стандартами настройки своего устройства для выхода в сеть и убедитесь, что на нём стоят такие же значения. В случае чего, проверьте, исправен ли ваш WiFi роутер с технической стороны;
  • устаревшее ПО и драйвера. Пользуйтесь только актуальным программным обеспечением. Следите за обновлениями драйверов. Всё это сильно сказывается на работе вашей сети;
  • тип подключения. Кабель и оптоволокно не сильно отличаются по «возрасту» друг от друга, но разница в качестве и скорости подключения – существенная. Старайтесь работать с более современным типом подключения и заменять устаревшее оборудование;
  • технические неполадки. Обязательно убедитесь, что все компоненты ПК исправны. Проверьте, не пережат ли сетевой кабель. Чаще всего именно мелкие неполадки ограничивают доступ в сеть на высокой скорости;
  • плохие погодные условия. Старайтесь не пользоваться интернетом во время грозы или неустойчивой погоды.

Как отключить ограничение скорости (видео-пособие):

Проверьте скорость интернета 8 способами

… и еще 7 способов:

Кликните по кнопке — тест откроется в новом окне.

ВНИМАНИЕ! Этот сайт никак не связан с интернет-провайдерами. Мы только помогаем вам тестировать качество соединения с помощью общедоступных сервисов.

Учитывайте это при выставлении оценок и публикации комментариев.

Источник: https://skorostinterneta.com/ustanovka-i-snyatie-ogranichenij

Контроль доступа

Ограничение интернет трафика по IP в сети

Помимо учета трафика ИКС дает возможность ограничить доступ к интернету, а также позволяет полностью контролировать скорость передачи данных. Это один из наиболее эффективных комплексов, позволяющих управлять доступом пользователей корпоративной сети в интернет.

Полный контроль для эффективного использования корпоративной сети

Ограничение интернета является одной из актуальных задач при формировании и обслуживании корпоративной сети. Не секрет, что зачастую сотрудники в офисах используют доступ в интернет совсем не для решения рабочих задач. В результате значительно снижается продуктивность работы, а значит, страдает эффективность бизнеса.

Читайте также  Как включить локальную сеть на Windows 7?

ИКС обладает широкими возможностями, в том числе делает возможным ограничение доступа, а также позволяет задавать ограничение интернет трафика по IP или по выбранным URL в сети. Все ограничения могут применяться для разных категорий и групп пользователей. Программа для контроля доступа в интернет обеспечивает эффективное использование корпоративной сети, что улучшает производительность труда, а также снижается стоимость услуг провайдера.

Fail2ban позволяет защитить почтовый сервер, веб-почту, телефонию, VPN, FTP и SSH, блокируя (на хаданное время или перманентно) IP-адреса, с которых предпринимается слишком много попыток авторизации.

Существует возможность легко обеспечить контроль скорости интернета в сети вашей компании за счет использования Proxy-server и Firewall. Это дает уверенность в том, что все работники используют сеть только для решения рабочих задач. В результате значительно повышается эффективность работы офиса и растет прибыль.

Благодаря использованию ИКС обеспечивается удобный контроль доступа пользователей к интернету в корпоративной сети. Ограничить трафик интернета можно с помощью гибких настроек. В том числе предлагаются следующие функции:

  • при нарушении блокировки выдается определенное сообщение или производится перенаправление пользователя на определенный сайт;
  • существует возможность задать временное ограничение доступа в интернет;
  • контроль трафика и посещенных ресурсов с использованием контентной фильтрации — блокируется доступ к ресурсам определенной категории.

Авторизация пользователей

Программа позволяет настраивать различные способы авторизации. Так ограничение и управление доступом в интернет могут осуществляться с использованием следующих способов:

  • ввод логина и индивидуального пароля;
  • получение доступа в интернет при входе под личной учетной записью («Active Directory»);
  • авторизация по определенному IP/mac-адресу;
  • использование специальной программы-агента.
  • Captive portal отвечает за авторизацию пользователей через веб-страницу (логин/пароль, смс, звонок)
  • Xauth позволяет осуществить авторизацию одним из трех следующих способов: IP, домен, логин/пароль. Кроме того, xauth позволяет отслеживать соединения, осуществляемые конечным устройством, что помогает системному администратору контролировать доступ к опреленным приложениям, используя правила Application Firewall
  • VPN
  • NTLM-интеграция

Вы можете выбрать способ, максимально подходящий для вашей сети. Настройка описана в документации.

Существует возможность объединения пользователей локальной сети предприятия в группы в зависимости от любых признаков, например, от организационной структуры, служебных обязанностей и т.д. Это значительно повышает эффективность контроля доступа в локальных сетях. Каждой из таких групп можно назначать отдельного администратора. Контроль использования интернета может предусматривать блокировку или ограничение доступа отдельно для любой из существующих групп с возможностью задания подробного правила.

Также может предоставляться доступ в интернет для других предприятий с возможностью задания определенных ограничений. При этом для каждого из таких предприятий может создаваться отдельная группа с предоставлением пароля ее администратору. Это можно назвать передачей виртуального ИКС в пользование третьей стороне.

Приобретая ИКС, вы получаете в комплекте готовый VPN-сервер, который обеспечит связь с удаленными офисами компании с использованием шифрованного тоннеля с возможностью осуществления контроля скорости интернета для каждого из них. Связь обеспечивается так же эффективно, как если бы удаленные офисы были физически подключены к общей корпоративной сети компании.

Покупка ИКС

Купить ИКС можно при помощи формы заказа на нашем сайте.

Нашей компанией осуществляется активная техническая поддержка клиентов по всем вопросам, связанным с использованием программы. Приобретая дополнительно Лицензию на обновления (Премиум), Вы вручаете все заботы по установке, настройке и сопровождению ИКС в руки наших специалистов — идеальный вариант для тех, кто хочет купить и забыть, получая при этом максимальные выгоды от использования ИКС. За любыми консультациями обращайтесь в отдел продаж.

Приобретая дополнительно модуль «Техподдержка», Вы вручаете все заботы по установке, настройке и сопровождению ИКС в руки наших специалистов — идеальный вариант для тех, кто хочет купить и забыть, получая при этом максимальные выгоды от использования ИКС. За любыми консультациями обращайтесь в отдел продаж.

Выберите свой тип покупателя

Физическое
лицо Юридическое
лицо

X

Источник: https://xserver.a-real.ru/functions/access.php

Ограничение интернет трафика по IP в сети

Ограничение интернет трафика по IP в сети

В прошлой статье мы разбирали, как анонимизировать весь Интернет-трафик одного хоста. Теперь давайте повысим уровень безопасности, обернув всю локальную сеть VPN-ом. При этом мы избавимся от опасности выйти в интернет с еще не настроенного девайса и ассоциировать адрес своего провайдера с этим устройством. Для этой цели можно просто настроить VPN-клиент на шлюзе, если это позволяет роутер.

Но такое решение черевато последствиями в виде уменьшения скорости работы Интернета, повышенной нагрузки на роутер, к тому же некоторые клиенты отправляют весь трафик через основное соединение сразу же в случае отключения от VPN. Не стоит забывать, что даже ведущие VPN-провайдеры не могут обеспечить 100% аптайм своих серверов.

Итак, каковы наши цели:

  • пропускать через VPN весь без исключения исходящий трафик
  • делать это с максимально возможной скоростью
  • не зависеть от временных неполадок VPN-провайдера
  • максимум анонимности в Интернете

Нам нужен мощный роутер, способный шифровать трафик на высокой скорости. Он будет выступать в роли VPN-шлюза. Мы нашли замечательные мини-ПК на AliExpress, которые подошли под эту задачу: четырехъядерный Intel Celeron, нативная поддержка AES-CBC, AES-XTS, AES-GCM, AES-ICM и аж четыре RJ-45 порта.

И по умолчанию на них была установлена pfSense. С ней и будем работать. Если ваш Интернет-провайдер требует особой настройки соединения, вы можете взять еще два роутера и разделить доступ к интернету и локальную сеть, а между ними поставить VPN-шлюз. В другом случае, можете напрямую подключить провод провайдера к VPN-шлюзу, а за ним разместить ваш домашний роутер с локальной сетью. Первоначальная настройка Интернет-соединения на pfSense выходит за рамки этой статьи.

Настройка

Статья предполагает, что интернет подключен к первому порту, ваш ПК или домашняя сеть — ко второму, и что до настройки VPN вы смогли выйти в интернет.

Во избежание дальнейших проблем давайте авторизуемся у любимого VPN-провайдера и найдем инструкцию по настройке pfSense. Если ваш провайдер не предоставляет инструкцию по ручной настройке в pfSense, можно воспользоваться вот этой от моего любимого провайдера: www.expressvpn.com/support/vpn-setup/pfsense-with-expressvpn-openvpn — основная суть не изменится. Приведенная статья с картинками расписывает, как полностью настроить только что купленный роутер с pfSense.

Вот краткий чеклист настройки нового VPN-а:

  • System — Cert. Manager — CAs. Добавляем сертификат VPN CA
  • System — Cert. Manager — Certificates. Добавляем сертификат VPN сервера
  • VPN — OpenVPN — Clients. Создаем нового клиента по инструкции от VPN-провайдера
  • Interfaces — Assignment. Добавляем клиентов как интерфейсы
  • System — Routing. Проверяем что появился шлюз.
  • Firewall — NAT. Добавляем правила NAT для каждого клиента
  • Firewall — Rules — LAN. Добавляем перенаправление всего трафика из сети через Gateway
  • System — Routing. Для активного VPN-a в настройках шлюза указываем Monitor IP, пингом до которого будет проверяться работоспособность VPN-а

Перезагрузка VPN-ов осуществляется в Status — OpenVPN. Просмотр логов в Status — Package Logs — OpenVPN. На этом этапе останавливаемся и проверяем, что доступ в интернет через VPN есть, и что при отключении от VPN доступ пропадает вовсе. Если интернета нет — где-то ошиблись, смотрим логи VPN, проверяем настройки заново.

Если после отключения VPN трафик начинает идти через основной шлюз, значит накосячили в Firewall — Rules — LAN. Теперь интересная часть. Если ваш провайдер выдает 20 Мбит в секунду, и то ночью — то на этом этапе вы уже получили локальную сеть, полностью закрытую VPN-ом, который работает с максимально возможной скоростью.

Но что, если у вас канал пошире?

Масштабируемся

Настраиваем еще пару-тройку VPN клиентов для разных серверов по инструкции выше. Добавлять сертификаты CA и сервера не нужно, выбираем уже добавленные. Также не выполняем шаг с Firewall — Rules — LAN, его мы сделаем позже. Необходимое количество клиентов устанавливается эмпирическим путем по результатам замеров скорости через каждый отдельный сервер.

После того как завершили, у нас должна быть следующая картина: — В VPN — OpenVPN — Clients созданы и активированы клиенты — В Interfaces — Assignment созданы и активированы интерфейсы для каждого клиента — В Status — OpenVPN все клиенты находятся в состоянии «up» — В System — Routing появились шлюзы, и для них указаны пингуемые IP-адреса. (Если не можете придумать, кого попинговать — откройте shodan.io и найдите все IP google) Теперь зайдем в System — Routing — Gateway Groups. Нажмите Add.

Укажите запоминающееся имя в Group Name. Теперь обратите внимание на таблицу Gateway Priority. Группы шлюзов работают следующим образом: failover по уровням, балансировка внутри уровня. Столбец Tier указывает, в каком уровне будет использоваться данный шлюз. Простейший вариант — указываем все активные VPN-шлюзы в первом уровне. Вариант для медленного интернета — создаем двух клиентов и размещаем их на первом и втором уровне, но в этом случае будет только отказоустойчивость. Ниже найдите Trigger Level.

Это условие, при котором произойдет временное исключение шлюза из группы. Варианты кроме Member Down позволяют перестать отправлять пакеты шлюзу чуть раньше, чем он упадет полностью — по превышению порога потери пакетов и/или по высокому пингу. Пороги потерь и пинга задаются для каждого шлюза индивидуально в System — Routing — Gateway. Как только выбрали удобный вариант расстановки шлюзов по уровням, нажмите Save. Пришло время направить трафик в новую группу шлюзов.

Идем в Firewall — Rules — LAN, открываем созданное ранее правило перенаправления, спускаемся до списка со шлюзами и видим в этом списке созданную нами группу. Выбираем её, сохраняем правило и применяем изменения. Всё, теперь каждое новое соединение будет идти через новый VPN-клиент в группе.

Время тестирования: открываем api.ipify.me, отключаем кэш и keep-alive, и перезагружаем страницу.

Если вы единственный пользователь в сети, на каждое обновление страницы вы должны видеть новый IP адрес, отличающийся от вашего домашнего. Если вы видите один и тот же адрес, полностью обновите страницу при помощи Ctrl+F5 (Command+Shift+R на маках), или откройте новую приватную вкладку. Если не помогло — значит где-то ошиблись в настройках группы, или не сменили шлюз в правилах фаерволла.

Теперь о плохом. К сожалению, у данного решения есть небольшой трудноуловимый баг, если использовать его перед роутером локальной сети (а не коммутатором). Рано или поздно у вас отваливается один из VPN-клиентов, срабатывает исключение его из группы, и всё хорошо до того момента, пока VPN не поднимется обратно.

Так как все пользователи находятся за NAT, а VPN-роутер видит только один IP-адрес и 65 тысяч портов, со временем он ассоциирует все порты с теми VPN-клиентами, которые никогда не падали. Соответственно, как только VPN-клиент поднимается, через него не идет никакой трафик. Клиент полностью жив, через него идут пинги и некоторое стабильное количество служебного трафика, но через него не идет трафик клиентов.

По идее это решалось бы сбросом таблицы соединений, и для этого даже есть галочка в настройках pfSense, но в моих исследованиях эта галочка напрочь блокировала всякий доступ к роутеру, так как клиенты начинали валиться циклично, при этом роняя только-только установленные соединения с веб-интерфейсом, что сильно затрудняло исправление проблемы. Без этой галочки при наличии более двух VPN-ов они уравновешивали себя, так что доступ хотя бы через один всегда был.

В конце концов я настроил в мониторинге условие «если пять минут на интерфейсе было меньше 1000 байт трафика в секунду, сообщить мне», и в особо запущенных случаях перезагружаю зомби-VPN-клиента вручную с целью сбросить таблицу соединений.

Итак, мы получили сеть, полностью пропускаемую через несколько распределенных VPN-ов. За счет сочетания нескольких разных VPN-серверов мы не зависим от доступности каждого из них в отдельности, а скорость сети ограничена только вашим каналом за вычетом шифрования. Если вдруг вам не хватит одного роутера — их тоже можно масштабировать, но это тема для отдельной статьи.

Источник: https://habr.com/ru/company/postuf/blog/475068/

Интернет для многочисленных его пользователей стал неотъемлемой частью жизни. Редкая организация или частное лицо не заботится о количестве потребляемого интернет-трафика. Программ для учета трафика существует великое множество. Маленькие и большие, функциональные и не очень.

Основные требования для таких программ — невысокая стоимость, удобная индикация, точный подсчет затрат, возможность предупреждения о возможных перерасходах средств.

Система учета трафика CommTraffic удовлетворяет этим требованиям и позволяет вести эффективный мониторинг интернет-активности как на домашнем компьютере, так и в локальных сетях любой сложности.

Существуют две версии программы: для домашнего использования и профессиональная. Отличие версий сводится к наличию функций работы с локальными сетями, а также наличию отчетов.

Функции профессиональной версии: консоль и сервис могут работать на разных хостах, подключения могут быть защищены паролем, универсальные правила могут быть использованы для подсчета трафика с использованием различных атрибутов пакета, можно наблюдать неограниченное количество локальных сетей и хостов, подробная многоуровневая статистика по трафику, обновление статистики в режиме реального времени, а также экспорт отчетов в форматы HTML, XML, RTF и Excel. Функции домашней версии скромнее: в ней отсутствует работа с локальной сетью, количество наблюдаемых хостов равно пяти и нет экспорта статистики.

Функционально CommTraffic состоит из двух модулей: сервиса и консоли. Данные модули взаимодействуют с системой и друг с другом. Результатом этого взаимодействия является набор отчетов, генерируемых консолью. Сервис запускается при старте системы и работает в фоновом режиме, собирая и записывая данные в лог-файл. Причем работа его не зависит от того, работает консоль или нет.

Источник: https://absolute-servicesamara.ru/ogranichenie-internet-trafika-po-ip-v-seti/

Контроль доступа

Помимо учета трафика ИКС дает возможность ограничить доступ к интернету, а также позволяет полностью контролировать скорость передачи данных. Это один из наиболее эффективных комплексов, позволяющих управлять доступом пользователей корпоративной сети в интернет.