DSCP - Flag ohne Funktion in Firewall

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
xthomasx
Beiträge: 2
Registriert: 25 Jun 2018, 12:30

DSCP - Flag ohne Funktion in Firewall

Beitrag von xthomasx »

Hallo zusammen.
Trotz 25 MBit SDSL Anschluss, werden VoIP Telefonate einfach unterbrochen oder haben eine grottige Qualität. Also erschien mir QoS eine ratsame Maßnahme. In unserer Anlage das DSCP auf EF gestellt, nach Anleitung aus diesem Forum die EF - QoS konfiguration vorgenommen und trotzdem scheinen die Regeln in der Firewall nicht zu greifen. (bzw. steht da das DSCP immer auf 0 CS0/BE)
Im Trace vom IP-Router wird das DSCP noch weitergereicht
DstIP: 192.168.1.13, SrcIP: XX.XX.XXX.XXX, Len: 200, DSCP: EF (0x2e), ECT: 0, CE: 0
In der Firewall kommen dann nur noch CS0/BE Pakete an. Also kann das QoS nicht greifen.

Nun meine Frage: Ist das normal das im FW Trace keine DSCP´s angezeigt werden, bzw. an welcher Stelle werden die IP Layer 2 Informationen im Lancom gefiltert ? (Haken am Diffserv - Feld beachten ist gesetzt)

Vielleicht hat ja jemand ein ähnliches Problem bereits gelöst und kann mir hier kurz einen Hinweis geben.

Gruß
Thomas
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: DSCP - Flag ohne Funktion in Firewall

Beitrag von backslash »

Hi xthomasx,

im Firewall-Trace wird der IP-Header gebnau so ausgegeben, wie im Router-Trace - und da es keine Änderung des DSCP zwischen Router und Firewall gibt, wird der DSCP in beiden Traces gleich - es sei denn du hast bei "DiffServ-Tags aus Layer 2" etwas anderes als "ignorieren" stehen... Der Punkt ist nur, daß im Router-Trafec jedes Paket auftaucht, im Firewall-Trace taucht nur etwas auf, wenn das Paket verworfen wird oder beim Anlegen einer Session nicht die erste Regel matcht ("test next filter...") oder für die Regel explizit eine Benachrichtigung (z.B. über SNMP oder Syslog) aktiviert ist.

Wenn deine Regel nicht matcht, dann mußt du dir die Regel nochmal genau anschauen. Für RTP sollte sie wie folgt aussehen:

Code: Alles auswählen

Name:        RTP
QoS:         Mindestbandbreite 100 kBit/s pro Session
             nur wenn DiffServ = EF
Quelle:      alle Stationen
Ziel:        alle Stationen
Dienste:     UDP
Beachte, daß ein Matchen dieser Regel nicht im Firewall-Trace auftaucht, weil sie keine Log-Aktion hat... mit Log-Aktion sähe die Regel so aus:

Code: Alles auswählen

Name:        RTP
Aktion:      übertragen
             nur wenn DiffServ = EF
             Sonstige Maßnahmen: [x] SNMP
QoS:         Mindestbandbreite 100 kBit/s pro Session
             nur wenn DiffServ = EF
Quelle:      alle Stationen
Ziel:        alle Stationen
Dienste:     UDP
Gruß
Backslash
xthomasx
Beiträge: 2
Registriert: 25 Jun 2018, 12:30

Re: DSCP - Flag ohne Funktion in Firewall

Beitrag von xthomasx »

Vielen Dank für die schnelle Antwort.

Klingt ja auch eigentlich logisch... Frage wie kann ich die QoS Funktionalität bzw. das greifen der Fw-Regel sonst überwachen? Im LAN-Monitor sehe ich leider nichts davon. Welchen Trace kann man dafür auswerten.

Die Regel ist genau so eingerichtet, wie beschrieben.

Gruß
Thomas
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: DSCP - Flag ohne Funktion in Firewall

Beitrag von Dr.Einstein »

QoS selbst kannst du meiner Meinung nach nur mit echten Tests bzw. Paketgeneratoren nachtesten. Vorweg sollte allerdings geprüft werden, ob tatsächlich ein QoS Problem vorliegt, bei 25 mbit/s (symmetrisch? selbst wenn nicht, dann bestimmt 5mbit/s) upload rutschen die 100 kbit/s doch immer einfach durch. Teste doch zuerst einmal in ruhigeren Zeiten, wo die WAN Strecke nahe 0% Auslastung ist (= LanMonitor ist eine gute Hilfe). Sollten du dabei keine Probleme haben, führe Down- und Uploadtests durch, gerne mit mehreren Sessions und bringe so jeweils eine Richtung auf 100%. Wenn jetzt langsam die Qualität nachlässt, hast du ein QoS Problem.

Versteht dich der Externe nicht gut, kannst du etwas über Firewallregeln nachregeln. Ob die Regeln greifen, siehst du eigentlich auch direkt im LanMonitor (WAN / QoS).
Verstehst du den Externen nicht gut, kannst du aber Lancom nicht wirklich etwas einstellen, du brauchst dann in der Regel QoS bei deinem ISP.

Gruß Dr.Einstein
Antworten