Ich kämpfe hier mit einer Regel, um die Bendbreitennutzung des WSUS (Updates zu den Zweigstellen) einzuschränken.
Aufbau:
Hauptstelle mit einem LANCOM 1906 (16M SDSL), Standort des Master-WSUS
1 Zweigstelle mit LANCOM 1906 (2M sym, kommt aber demnächst eine weitere Leitung .. wenn die Telekom ausbaut), Standort eines replizierenden WSUS
1 Zweigstelle mit LANCOM 1783 (10M SDSL)
1 Zweigstelle mit LANCOM 1790 (10M SDSL)
1 Zweigstelle mit LANCOM 1790 (50/4M ADSL)
Da die Leitungen bei Freigabe von Updates (wir verteilen auch eingene Software per WSUS) oft "verstopfen", versuche ich seit Wochen, da eine Einschränkung der Bandbreiten einzurichten. Leider klappt das nicht so, wie ich das mir vorstelle, und daher meine Frage in die Runde, ob und wie das jemand gelöst hat.
Auf allen Geräten gibts das Objekt "WSUS" mit der IP des Master-WSUS der Haupstelle, sowie an jedem Standort das Objekt "WSUS-Client" mit den Adressbereich der Clients (Komplettes Netzwerk) bzw. die Zweigstelle mit dem Replikats-WSUS hat da halt nur den WSUS drin (per GPO werden die Zugriffe der Clients zum WSUS geregelt, das funzt auch). In der Haupstelle noch das Objekt "WSUS_CLIENT_REMOTE" mit allen Netzen an den Remotestandorten.
Als Dienst-Objekt habe ich den Eintrag "WSUS_TCP853x" mit den TCP-Ports 8530-8531 (Kommunikationsports des WSUS) angelegt, und in deer Hauptstelle das Aktions-Objekt "MAX_1024K_OUT" (1024kbit/s global, nur VPN, verwerfen, SNMP), in den Zweigstellen mit 256k.
Die Regeln und Objekte der Hauptstelle als Script (ich hoffe, ich habe alle erwischt ...):
Code: Alles auswählen
cd /Setup/IP-Router/Firewall/Actions
add "MAX_1024KBITS_OUT" {Description} "%Lgtds1024 @v %D %N"
cd /Setup/IP-Router/Firewall/Objects
add "WSUS_CLIENT_REMOTE0" {Description} "%A192.168.11.0 %M255.255.255.0 %A192.168.12.0 %M255.255.255.0"
add "WSUS_CLIENT_REMOTE1" {Description} "%A192.168.13.0 %M255.255.255.0 %A192.168.14.0 %M255.255.255.0"
add "WSUS_CLIENT_REMOTE2" {Description} "%A10.100.30.0 %M255.255.255.0 %A10.110.30.0 %M255.255.255.0"
add "WSUS_CLIENT_REMOTE3" {Description} "%A10.120.30.0 %M255.255.255.0 %A10.130.30.0 %M255.255.255.0"
add "WSUS_CLIENT_REMOTE4" {Description} "WSUS_CLIENT_REMOTE0 WSUS_CLIENT_REMOTE1 WSUS_CLIENT_REMOTE2"
add "WSUS_CLIENT_REMOTE5" {Description} "WSUS_CLIENT_REMOTE3"
add "WSUS_CLIENT_REMOTE" {Description} "WSUS_CLIENT_REMOTE4 WSUS_CLIENT_REMOTE5"
add "WSUS" {Description} "%A192.168.10.199"
cd /Setup/IP-Router/Firewall/Rules
add "MAX-BW-WSUS_OUT" {Prot.} "ANY" {Source} "WSUS_TCP853X WSUS" {Destination} "WSUS_CLIENT_REMOTE" {Action} "MAX_1024KBITS_OUT" {LB-Policy} "" {LB-Switchover} No {Linked} No {Prio} 50 {Firewall-Rule} Yes {VPN-Rule} No {Stateful} Yes {Src-Tag} 0 {Rtg-tag} 0 {Comment} ""
Leider greifen meine Reglen nicht so, wie sie sollen (bzw wie ich das gerne hätte).
Wo liegt mein Denkfehler?