Sehr, sehr langsamer http-Transfer bei einem gleichzeitigem Download

Normal heißt ja nicht aktzeptabel.

Die technsiche Erklärung für die Einschränkungn ist ok.
Dass die Mitarbeiter so etwas nicht aktzeptieren wollen ist auch logisch.

So wirst du also für solche Zwecke in deiner IPFire etwas regeln müssen um die Bandbreite für den Rest der Mitarbeiter nicht zu zerstören. Das ist Layer7 Priorisierung in Kombination mit den Clients. So etwas wie es muss immer etwa 1/3 der Bandbreite oder mindestens 1Mbit/s für neue Request offen bleiben. Ein Proxy kann möglicherweise auch so etwas leisten.

Du nennst es ja selbst shaping. So sieht eine Lösung aus.
Ansonsten ist Ehternet und IP: Was so eben geht. "best effort"

Gruß
Netman

Na ja der Level One Switch im lokalen LAN ist ja auch die komplett falsche Baustelle ! Der hat mit der o.a. Problematik nämlich rein gar nix zu tun.
Relevant ist die IPFire bzw. was VOR der IPFire ist. Die IPFire hat ja einen Breitbandanschluss als WAN Port, sprich einen nackten Ethernet Port. Folglich kann sie also die 4 Mbit Leitung NICHT direkt bedienen ohne Modem.
Die Kardinalsfrage ist nun also WAS steckt zwischen IPFire und der 4 Mbit Wanddose ?? Ein Modem, ein Router…??
Das teilt der TO uns ja intelligenterweise nicht mit so das uns da nur die berühmte Kristallkugel bleibt.
Sinnvollerweise wäre es ein reines Modem. Wenn es aber ein Router ist, der wohlmöglich auch noch NAT macht, hast du 2 kaskadierte NAT Prozesse, 2 unterschiedliche Router HW zum Troubleshooten usw. usw.
Bevor wir also jetzt hier weiterraten sollte der TO da mal etwas detailierter werden.
Sinnvoll wäre auch mal eine andere Router HW oder eine andere FW zu testen Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät um mal grob durch ein Ausschlussverfahren den Verursacher rauszubekommen. 20-30 Sekunden, wenn das nicht gelogen oder übertrieben ist, ist wirklich nicht normal.
Obwohl der Provider nicht ganz Unrecht hat, denn bei FTP kommt meist ein kontinuierlicher Datenstrom wo sich die TCP Windows anpassen können was hie und da mal ein HTTP Request nicht hat. So lange Wartezeiten sind aber nicht normal, wenn alle User teilen sich diese Bandbreite….

Sehr sinnvoll beim Einsatz von IPFire in Verbindung mit langsamen Leitungen ist diese auf CoDel Betrieb zu stellen:
https://www.heise.de/artikel-archiv/ct/2013/20/188_Paketbeschleuniger
Auch das wird vermutlich dein Problem schon lösen.

..."befindet sich ein Router des Providers"
Das war zu befürchten…. Habt ihr da ein öffentliches Subnetz vom Provider bekommen oder nutzt der Router zur Schnittstelle zu euch ein privates RFC 1918 Subnetz ? Auf was für einer HW rennt die IPFire speziell welche NIC Karten ? Kontraproduktiv ist hier alles was Treiber bzw. Chipsets hat die Paket Forwarding der CPU aufbürden wie Chipsets von Realtek z.B. Das solltest du klären und ggf. tauschen.
Wenn möglich auch CoDel aktivieren in der IPFire.

Ein weiteres Problem ist der Geschwindigkeitsunterschied zwischen den Routern dieser Kaskade. Die IPFire geht davon aus das sie 100 Mbit/s Wirespeed hat am WAN Port. Kannst du an der IPFire irgendwie die Bandbreite in der Konfig vorgeben und sagen das dort nur 4 Mbit sind.
Dann würde sie den Traffic besser steuern können. Bei der pfSense ist sowas möglich.
Ansonsten testweise mal andere Routing HW checken nur mal um zu sehen ob es grob einen Unterschied macht.

Also das darf so nicht sein. Die Kommentare weiter oben mit QOS haben damit ja nichts zu tun, denn es geht um den Download. Da kannst du nichts sinnvoll shapen. Meiner Ansicht nach ist es Aufgabe des Providers, dass man auch bei Vollspeed-Download noch mit einer zweiten Verbindung surfen kann. Und soweit ich weiss gibts da auch keine Probleme. Als nächsten - und einfachen Schritt - ohne jetzt hier sehr viel rumzuraten was es alles sein kann, würde ich mal dein IPFire GW austauschen. Wenn du die Gelegenheit dazu hast, teste mal eine Watchguard - oder auch eine Fritzbox oder was auch immer - aber einfach mal den Router tauschen.
Viel Erfolg.