# OPNsense QoS Mastery: Traffic Shaping & Bandbreiten-Kontrolle
TL;DR / Management Summary Ein vollausgelasteter Internetanschluss führt zu hohen Latenzen (Bufferbloat), die Video-Calls und SSH-Sessions unmöglich machen. Wir nutzen den OPNsense Traffic Shaper, um Bandbreiten gerecht zu verteilen. Mit modernen Algorithmen wie FQ-CoDel eliminieren wir Warteschlangen-Staus und priorisieren kritische Dienste wie Teams, Zoom und VoIP gegenüber massiven Downloads oder Windows-Updates.
# 1. Einführung & Architektur
Warum Bandbreite allein nicht hilft.
Wenn ein Interface zu 100% ausgelastet ist, fangen die Puffer der Netzwerkkarte an, Pakete zu halten. Dies erhöht die Latenz (Ping) massiv.
- Lösung: Wir limitieren den Traffic auf ca. 95% der echten Kapazität, damit die OPNsense die volle Kontrolle über die Priorisierung behält.
# Algorithmen im Überblick
- Pipe: Definiert die maximale Bandbreite (z.B. 100 Mbit/s).
- Queue: Die Warteschlange innerhalb der Pipe.
- FQ-CoDel (Fair Queuing Controlled Delay): Der aktuelle Enterprise-Standard. Verteilt Pakete “fair” auf alle User und minimiert Latenzen.
# 2. Einrichtung in der Praxis
In 3 Schritten zum flüssigen Netz.
# Schritt 1: Pipes erstellen (Kapazität)
Firewall -> Shaper -> Pipes.
- Pipe In: Bandbreite Ihres Downloads (z.B. 100).
- Pipe Out: Bandbreite Ihres Uploads (z.B. 40).
- Scheduler:
FQ-CoDel.
# Schritt 2: Queues erstellen (Priorität)
Firewall -> Shaper -> Queues.
Erstellen Sie Queues mit unterschiedlichen Gewichten (Weight):
- Realtime: Weight 100 (VoIP, DNS).
- Default: Weight 50.
- Bulk: Weight 1 (Windows Updates, Downloads).
# Schritt 3: Rules erstellen (Klassifizierung)
Firewall -> Shaper -> Rules.
Hier definieren wir, was in welche Queue kommt:
- Protocol:
UDP, Destination Port:3478-3481(Teams) -> Realtime Queue. - Any other -> Default Queue.
# 3. Deep Dive: Bufferbloat bekämpfen
Den ‘Ping-Spike’ verhindern.
Testen Sie Ihren Anschluss mit Waveform Bufferbloat Test.
- Ziel: Note A oder A+.
- Technik: Durch den Einsatz von FQ-CoDel in der OPNsense werden “Elefanten-Ströme” (Downloads) zugunsten von “Maus-Strömen” (VoIP Pakete) verlangsamt, sobald die Latenz steigt.
# 4. Day-2 Operations: Bandbreiten-Limitierung pro IP
Gerechtigkeit im Netz.
Verhindern Sie, dass ein einzelner User das gesamte Büro lahmlegt.
- Aktion: Erstellen Sie eine Pipe mit der Option
Mask. - Einstellung:
Source(für Upload) oderDestination(für Download). - Effekt: Jede IP-Adresse im LAN bekommt maximal z.B. 10 Mbit/s zugewiesen.
# 5. Troubleshooting & “War Stories”
Wenn die Bremse klemmt.
# Top 3 Fehlerbilder
-
Symptom: Internet ist viel langsamer als gebucht.
- Ursache: Die Pipes wurden zu klein dimensioniert oder “Hardware Offloading” (Artikel 547) ist aktiv und stört den Shaper.
- Lösung: Pipes auf 95% der Realgeschwindigkeit setzen und Offloading deaktivieren.
-
Symptom: VoIP-Qualität ist trotz QoS schlecht.
- Ursache: Die Priorisierung erfolgt nur ausgehend (Upload). Der Download-Traffic wird bereits vom ISP gedroppt, bevor die Firewall ihn sieht.
- Lösung: Shaper am WAN-Eingang aggressiver einstellen.
-
Symptom: Hohe CPU-Last bei aktivem Shaper.
- Ursache: Zu viele komplexe Regeln mit Deep Packet Inspection.
# “War Story”: Das “Windows-Update” Desaster
In einer Außenstelle mit nur 16 Mbit DSL brach die Telefonie jeden Morgen um 9:00 Uhr zusammen. Die Entdeckung: Alle Laptops starteten gleichzeitig ihre Windows-Updates. Der Shaper war aktiv, priorisierte aber den Traffic basierend auf IP-Adressen. Da die Updates von Microsoft-CDNs kamen, wurden sie als “Web-Traffic” (Default) eingestuft. Lösung: Wir identifizierten die Update-Pfade via Alias (Artikel 555) und schoben diesen Traffic in eine Bulk-Queue mit minimalem Gewicht. Die VoIP-Gespräche blieben ab sofort glasklar. Lehre: Klassifizieren Sie Traffic nach Funktion, nicht nur nach Protokoll.
# 6. Monitoring & Reporting
Statistiken der Warteschlangen.
# Shaper Status
Firewall -> Shaper -> Status.
Hier sehen Sie live:
- Dropped Packets: Wenn hier viele Pakete stehen, arbeitet der Shaper korrekt und schützt die Latenz.
- Current Load: Ausnutzung der konfigurierten Pipes.
# 7. Fazit & Empfehlung
QoS ist das wichtigste Werkzeug zur Optimierung der Benutzererfahrung.
- Empfehlung: Aktivieren Sie FQ-CoDel standardmäßig. Es ist “Set and Forget” für eine faire Bandbreitenverteilung.
- Wichtig: Messen Sie die reale Bandbreite Ihres Anschlusses zu verschiedenen Tageszeiten, bevor Sie die Pipes fixieren.
# Anhang: Cheatsheet für Prioritäten
| Dienst | Port / Protokoll | Priorität |
|---|---|---|
| DNS | UDP 53 | Hoch |
| SSH / RDP | TCP 22 / 3389 | Hoch |
| Teams Video | UDP 3478-3481 | Hoch |
| Web (HTTP/S) | TCP 80 / 443 | Mittel |
| Backup / Updates | Any | Niedrig |