Bandbreiten-Garantie funktioniert nicht

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Richard
Beiträge: 39
Registriert: 28 Mär 2013, 22:23

Bandbreiten-Garantie funktioniert nicht

Beitrag von Richard »

Hallo,

ich möchte einer bestimmten lokalen IP eine garantierte Bandbreite für die Kommunikation mit dem Internet zusichern. Ich habe folgende zwei Regeln definiert:

1.)
Quelle: 192.168.1.2
Ziel: beliebig
Aktion: keine
QoS: Mindestbandbreite 500kbit/s, global, erzwungen.

2.)
Quelle: beliebig
Ziel: 192.168.1.2
Aktion: keine
QoS: Mindestbandbreite 500kbit/s, global, erzwungen

Zum Testen habe ich vorher und nachher die Bandbreite gemessen, die den anderen Stationen zur Verfügung steht. Leider können die restlichen Stationen immer noch die volle Bandbreite nutzen.

Weiß jemand was ich falsch mache? Unter Schnittstellen -> WAN -> Interface-Einstellungen habe ich die verfügbare Bandbreite eingetragen.

Lassen sich die beiden Regeln zu einer vereinfachen?`Grundsätzlich möchte ich, dass je 500kbit/s in up und down stream reserviert werden unabhängig in welche Richtung die Verbindung aufgebaut wird.
Benutzeravatar
MoinMoin
Moderator
Moderator
Beiträge: 1978
Registriert: 12 Nov 2004, 16:04

Re: Bandbreiten-Garantie funktioniert nicht

Beitrag von MoinMoin »

Moin, moin!

Wenn ich das richtig versdtanden habe, dann wird die verfügbare Bandbreite für die "Anderen" reduziert, sobald die zugesicherte Bandbreite genutzt wird (und auch nur um soviel, wie von der reservierten Bandbreite genutzt wird). Wenn du also keinen Traffic von oder zu 192.168.1.2 hast, steht die Bandbreite weiterhin allen zur Verfügung.

Ciao, Georg
Richard
Beiträge: 39
Registriert: 28 Mär 2013, 22:23

Re: Bandbreiten-Garantie funktioniert nicht

Beitrag von Richard »

Ich dachte die Option "erzwungen" soll dafür sorgen, dass die Bandbreite immer reserviert wird. Habe ich das falsch verstanden?
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Bandbreiten-Garantie funktioniert nicht

Beitrag von Dr.Einstein »

Hey,

9.24 oder 10.12 ? Laut meinen ersten Messungen haut QoS in der 10.12 zumindest für TCP überhaupt nicht mehr hin (jedoch Upstream, Downstream ist eh Glücksspiel).

Gruß Dr.Einstein
Richard
Beiträge: 39
Registriert: 28 Mär 2013, 22:23

Re: Bandbreiten-Garantie funktioniert nicht

Beitrag von Richard »

Ja, ist Version 10.12 drauf....Also ein allgemeiner Bug in der Software?

Nochmal grundsätzlich: Hab etwas gelesen und rausgefunden, dass zwei getrennte Regeln schlecht sind, da sie 2x 500kbit/s reservieren würden.

Wie kann ich die Regel so umschreiben, dass egal von welcher Richtung(192.168.1.2 -> Internet oder Internet -> 192.168.1.2) die Verbindung aufgebaut wird, jeweils 500kbit/s für Downstream und 500kbit/s für Upstream global reserviert werden?
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Bandbreiten-Garantie funktioniert nicht

Beitrag von Dr.Einstein »

Richard hat geschrieben:Also ein allgemeiner Bug in der Software?
Unbekannt, bin glaube aktuell der einzige, der das behauptet. Müsste dafür aber noch weitaus mehr mit Paketgenerator und Wireshark analysieren, um was bei Lancom einkippen zu können.

Naja, die Frage ist halt, ob jemand von extern auf deinen Server zugreift (sprich Portweiterleitung) oder ob die Maschine lediglich Zeugs aus dem Internet holt. Der Lancom selbst hat eine stateful Firewall, d.h. die Aufbaurichtung einer Session ist entscheidend, und genau so müsstest du die Regel bauen, nicht zwei. Und bei diesen einen Regel kannst du dann sagen, ob nur ankommend, nur abgehend, oder beide Richtungen Reservierungen vorgenommen werden sollen, wobei ich immer noch der Meinung bin, dass ein ankommenden QoS mit Lancom (TCP) nicht (sauber) möglich ist, egal welche Firmware.

Gruß Dr.Einstein
Richard
Beiträge: 39
Registriert: 28 Mär 2013, 22:23

Re: Bandbreiten-Garantie funktioniert nicht

Beitrag von Richard »

Dr.Einstein hat geschrieben:
Richard hat geschrieben:Also ein allgemeiner Bug in der Software?
Unbekannt, bin glaube aktuell der einzige, der das behauptet. Müsste dafür aber noch weitaus mehr mit Paketgenerator und Wireshark analysieren, um was bei Lancom einkippen zu können.
Soll ich mich dann direkt an den Support wenden?
Dr.Einstein hat geschrieben: Naja, die Frage ist halt, ob jemand von extern auf deinen Server zugreift (sprich Portweiterleitung) oder ob die Maschine lediglich Zeugs aus dem Internet holt. Der Lancom selbst hat eine stateful Firewall, d.h. die Aufbaurichtung einer Session ist entscheidend, und genau so müsstest du die Regel bauen, nicht zwei.
Wie mache ich das denn, wenn die Verbindung in beide Richtungen möglich sein soll?
Folgende Regel würde ja keinen Sinn machen: Quelle: 192.168.1.2 und Ziel: 192.168.1.2

Ich könnte sowas wie das machen: Quelle: 192.168.1.2, Internet und Ziel: 192.168.1.2, Internet
Ich nehme an, dass mehrere Quell/Ziel-Angaben "oder"-verknüpft sind? Allerdings würde die Regel dann auch auf Internet -> Internet zutreffen. Wobei das ja eigentlich kein Problem darstellen sollte?
Dr.Einstein hat geschrieben: dass ein ankommenden QoS mit Lancom (TCP) nicht (sauber) möglich ist, egal welche Firmware.
Wieso nicht?
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Bandbreiten-Garantie funktioniert nicht

Beitrag von Dr.Einstein »

Quelle 192.168.2.1 + Internet Ziel 192.168.2.1 + Internet. Wie du schon gesagt hast sind innerhalb einer Richtung ODER-Verknüpfungen, und zwischen Quelle <-> Ziel UND-Verknüpfungen.

Zum QoS in ankommende Richtung: Auf der Leitung ist ja bereits das ankommende Datenpaket, es spielt keine Rolle, ob der Router dieses Paket verwirft oder nicht, die Leitung ist in dem Moment belastet. Jetzt könnte man sagen durch Paketverlust regelt TCP runter. Das mag schon sein, regelt aber auch sofort wieder hoch wodurch die Leitung wieder belastet ist. Ist alles nix 100%iges. Funktionieren tut das nur, wenn der gegenüberliegende Punkt (DSLAM, Juniper, Cisco was auch immer) in seinem Upload das QoS eingestellt hast. Bestes Beispiel hierfür ist VoIP bei deinem Internetprovider. Du machst in deinem Router QoS für Upload, der Provider macht QoS für VoIP ebenfalls in Upload (was aus deiner Sicht aber Download ist). Kann nicht einer mal eine Diplom Arbeit über QoS und Lancom schreiben? Dann wären wir alle schlauer...

Gruß Dr.Einstein
Richard
Beiträge: 39
Registriert: 28 Mär 2013, 22:23

Re: Bandbreiten-Garantie funktioniert nicht

Beitrag von Richard »

Dr.Einstein hat geschrieben:Quelle 192.168.2.1 + Internet Ziel 192.168.2.1 + Internet. Wie du schon gesagt hast sind innerhalb einer Richtung ODER-Verknüpfungen, und zwischen Quelle <-> Ziel UND-Verknüpfungen.

Zum QoS in ankommende Richtung: Auf der Leitung ist ja bereits das ankommende Datenpaket, es spielt keine Rolle, ob der Router dieses Paket verwirft oder nicht, die Leitung ist in dem Moment belastet. Jetzt könnte man sagen durch Paketverlust regelt TCP runter. Das mag schon sein, regelt aber auch sofort wieder hoch wodurch die Leitung wieder belastet ist. Ist alles nix 100%iges. Funktionieren tut das nur, wenn der gegenüberliegende Punkt (DSLAM, Juniper, Cisco was auch immer) in seinem Upload das QoS eingestellt hast. Bestes Beispiel hierfür ist VoIP bei deinem Internetprovider. Du machst in deinem Router QoS für Upload, der Provider macht QoS für VoIP ebenfalls in Upload (was aus deiner Sicht aber Download ist). Kann nicht einer mal eine Diplom Arbeit über QoS und Lancom schreiben? Dann wären wir alle schlauer...

Gruß Dr.Einstein
Was wäre den mit folgendem: Ich habe dann ja nur eine Firewall regel. Dieser füge ich dann 2 QoS-Einträge hinzu:

Mindestbandbreite 200kbit/s, global, erzwungen.
Mindestbandbreite 300kbit/s, global, nicht erzwungen.

Dann würde er ja mindestens/immer die 200 frei halten.(Wenn es denn funktionieren würde) und bei Bedarf weitere 300 freigeben. Oder müsste das dann

Mindestbandbreite 200kbit/s, global, erzwungen.
Mindestbandbreite 500kbit/s, global, nicht erzwungen.

sein?

Jedenfalls könnte man das Problem doch dadurch etwas entschärfen?
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: Bandbreiten-Garantie funktioniert nicht

Beitrag von Bernie137 »

Hallo,
Dr.Einstein hat geschrieben:Quelle 192.168.2.1 + Internet Ziel 192.168.2.1 + Internet. Wie du schon gesagt hast sind innerhalb einer Richtung ODER-Verknüpfungen, und zwischen Quelle <-> Ziel UND-Verknüpfungen.
Also wenn das nicht ausgerechnet Du geschrieben hättest, würde ich behaupten das geht so nicht (sauber). Ich habe damit schlechte Erfahrungen gemacht jeweils bei Quelle eine Quelle(n) und ein Ziel(e) gemeinsam und beim Ziel auch die Quelle(n) und das Ziel(e) gleichzeitig anzugeben, denn genau das mache ich nie für VPN-Standorte. Mache schon seit Jahren zwei Regeln (Hin + Rück), wohlgemerkt bei Deny-All. Ganz einfach weil es in dem konkreten Beispiel schon 4 Kombinationen gibt: Q: 192.168.1.2 - Z: 192.168.1.2, Q: 192.168.1.2 - Z: Internet, Q: Internet - Z: 192.168.1.2, Q: Internet - Ziel: Internet. Vielleicht mag das in diesem Beispiel noch schleichen, weil 2 Kombinationen Quatsch sind. Aber bei vielen IP-Netzen kann da auch ungewünschtes Verhalten entstehen, weil unüberschaubar.
Dr.Einstein hat geschrieben:Der Lancom selbst hat eine stateful Firewall, d.h. die Aufbaurichtung einer Session ist entscheidend, und genau so müsstest du die Regel bauen, nicht zwei.
Daher lautet mein Vorschlag:
Quelle: 192.168.1.2
Ziel: beliebig
Aktion: Zulassen
QoS: Für empfangene Pakete, Mindestbandbreite 500kbit/s, global (Download für die IP 192.168.1.2)
QoS: Für gesendete Pakete, Mindestbandbreite 500kbit/s, global (Upload für die 192.168.1.2)
QoS.jpg
Nur für den Fall, dass auch Verbindungen aus dem Internet eingehend zu 192.168.1.2 stattfinden (also bei aktiviertem Port-Forwarding) ist die zweite Regel erforderlich:
Quelle: beliebig
Ziel: 192.168.1.2
Aktion: Zulassen
QoS: Für empfangene Pakete, Mindestbandbreite 500kbit/s, global
QoS: Für gesendete Pakete, Mindestbandbreite 500kbit/s, global

Gruß Bernie
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Man lernt nie aus.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Bandbreiten-Garantie funktioniert nicht

Beitrag von Dr.Einstein »

Hi Bernie,

ich meide so eine Doppelregel auch, wo ich kann, da ich zu viele negative Erfahrungen gemacht habe, vor allem bei VPN Regeln die für die SA Erzeugung genommen werden.

Ich habe ja extra gefragt, ob der Server abgehend was aktiv auffbaut, und auch aktiv ankommend was erhält (=Portweiterleitung). Dies wurde mit ja beantwortet. Wenn man jetzt deine Regeln nimmt, wären meiner Meinung nach 1000 kbit/s verballert, wenn beide Fälle zeitgleich eintreten.

Mir persönlich fällt keine saubere Lösung ein.

Gruß Dr.Einstein
Richard
Beiträge: 39
Registriert: 28 Mär 2013, 22:23

Re: Bandbreiten-Garantie funktioniert nicht

Beitrag von Richard »

Danke für die Antworten. Ich weiß jetzt wie ich es umsetze. Nur noch ein letztes. Ich kann das aktuell nicht ausprobieren, da die "erzwungen" Option bei mir immer noch nicht funktioniert:

Addieren sich mehrere Mindestbandbreiten oder werden sie parallel angewendet? Müsste ich also für 500kbit/s Variante 1 oder 2 nutzen?

Variante 1:
Mindestbandbreite 200kbit/s, global, erzwungen.
Mindestbandbreite 300kbit/s, global, nicht erzwungen.

Variante 2:
Mindestbandbreite 200kbit/s, global, erzwungen.
Mindestbandbreite 500kbit/s, global, nicht erzwungen.
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: Bandbreiten-Garantie funktioniert nicht

Beitrag von Bernie137 »

Hi,
Dr.Einstein hat geschrieben:Wenn man jetzt deine Regeln nimmt, wären meiner Meinung nach 1000 kbit/s verballert, wenn beide Fälle zeitgleich eintreten.
Nein, denn man addiert doch üblicherweise nicht Upload und Download.
ich meide so eine Doppelregel auch, wo ich kann, da ich zu viele negative Erfahrungen gemacht habe, vor allem bei VPN Regeln die für die SA Erzeugung genommen werden.
Ok, dann hab ich es auch richtig eingeschätzt, alles gut :)
Richard hat geschrieben:Lassen sich die beiden Regeln zu einer vereinfachen?`Grundsätzlich möchte ich, dass je 500kbit/s in up und down stream reserviert werden unabhängig in welche Richtung die Verbindung aufgebaut wird.
@Einstein: Genau das war gewünscht. 500kbit/s in jede Richtung.

Quelle: 192.168.1.2
Ziel: beliebig
Aktion: Zulassen
QoS: Für empfangene Pakete, Mindestbandbreite 500kbit/s, global (Download für die IP 192.168.1.2)
QoS: Für gesendete Pakete, Mindestbandbreite 500kbit/s, global (Upload für die 192.168.1.2)

Gruß Bernie
Man lernt nie aus.
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: Bandbreiten-Garantie funktioniert nicht

Beitrag von Dr.Einstein »

Bernie137 hat geschrieben:
Richard hat geschrieben:Lassen sich die beiden Regeln zu einer vereinfachen?`Grundsätzlich möchte ich, dass je 500kbit/s in up und down stream reserviert werden unabhängig in welche Richtung die Verbindung aufgebaut wird.
@Einstein: Genau das war gewünscht. 500kbit/s in jede Richtung.

Quelle: 192.168.1.2
Ziel: beliebig
Aktion: Zulassen
QoS: Für empfangene Pakete, Mindestbandbreite 500kbit/s, global (Download für die IP 192.168.1.2)
QoS: Für gesendete Pakete, Mindestbandbreite 500kbit/s, global (Upload für die 192.168.1.2)
Und genau deswegen funktioniert ja deine Regel nicht. Du hast Quelle LAN gemacht. Bei der Portweiterleitung ist aber Ziel die LAN IP ...

Gruß Dr.Einstein
Benutzeravatar
Bernie137
Beiträge: 1700
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: Bandbreiten-Garantie funktioniert nicht

Beitrag von Bernie137 »

Und genau deswegen funktioniert ja deine Regel nicht. Du hast Quelle LAN gemacht. Bei der Portweiterleitung ist aber Ziel die LAN IP ...
Ok, überedet. Den Fall Portweiterleitung hatte ich nur optional gesehen. Für diesen Fall habe ich ja oben die zweite Regel geschrieben. Bei "nicht erzwungen" würde er nur für den Fall dass in beiden Richtungen im gleichen Zeitfenster Traffic angeschubbst wurde 1000kbit/s pro Richtung verbraten, richtig - sonst nicht.

Gruß Bernie
Man lernt nie aus.
Antworten