FW Regel greift erst nach Reset

[dmun]

Hallo zusammen,

ich bin nochmals bei der Bandbreitenbegrenzung und habe folgendes Verhalten, welches ich nicht verstehe:
Gegeben sind zwei LANs (192.168.55.0 und 192.168.60.0) welche durch jeweils einen Lancom 1781VAW (aktuelle Firmware) über einen VPN Tunnel mit einander verbunden sind.
In unregelmäßigen Abständen kopiert nun eine Station aus dem 55er Netz größere Daten auf eine Station in dem 60er Netz und damit der VPN Tunnel nicht komplett dicht gemacht wird hierbei habe ich eine Bandbreitenlimitierung in der FW eingetragen. Screenshots hängen an.
Nun passiert aber erst einmal gar nichts, die Station fängt an die Daten zu übertragen, die VPN Verbindung ist dicht und die FW Regel greift nicht. Erst nachdem ich den VPN Tunnel über den LANMonitor zurück setzen und der VPN Tunnel neu aufgebaut wurde greift die Regel und die Bandbreite wird wie gewünscht auf den eingetragenen Wert limitiert. Hin und wieder muss dies auch zwei mal durch geführt werden. Hat jemand eine Idee wieso dies passiert und was man dagegen machen kann ?

Viele Grüße, Dirk

fw01.PNG

fw02.PNG

fw03.PNG

[ua]

Moin,
die FW-Regeln greifen erst beim Aufbau einer Session, steht aber auch irgendwo in der Doku
Grüße

[dmun]

Hallo, das ist der Punkt den ich nicht verstehe. Die Session wird doch aufgebaut wenn der Kopiervorgang startet und zu diesem Zeitpunkt ist die Regel aktiv. Ich will die Bandbreite pro Sitzung begrenzen und nicht pro Station.
Grüße, Dirk

[backslash]

Hi dmun

Die Session wird doch aufgebaut wenn der Kopiervorgang startet und zu diesem Zeitpunkt ist die Regel aktiv.

bist du dir da sicher? Nicht daß die Station da eine dauerhafte Session hält, die erstmal gelöscht werden muß - sowas gibt es öfter als man denkt, z.B. wenn man in Windows Netzlaufwerke verbindet (also über einem Laufwerksbuchtaben darauf zugreift)

Gruß
Backslash

[dmun]

100% sicher bin ich nicht, werde ich abklären. Danke für den Tipp !
Es handelt sich nicht um Windows-Stationen, welche über ein Windows Netzlaufwerk kommunizieren sondern. Aber wenn die Session nicht beednet wird, dann dürfte doch bei einem neuen Kopiervorgang die Bandbreitenbegrenzung weiterhin greifen, sofern diese vorher funktionierte, oder sehe ich das falsch ?

[backslash]

Hi dmun,

Aber wenn die Session nicht beednet wird, dann dürfte doch bei einem neuen Kopiervorgang die Bandbreitenbegrenzung weiterhin greifen, sofern diese vorher funktionierte, oder sehe ich das falsch ?

wenn es einmal gegriffen hat, dann greift es immer, solange die Session besteht - das Limit ist ja eine Eigenschaft der Session

Hier ging es ja aber um das "erste Mal" nach einrichten der Regel...

Gruß
Backslash

[dmun]

nein, dann wurde dies falsch verstanden. Gesetzt der Fall, dass nach dem Reset der Leitung die Begrenzung greift, dann läuft die Übertragung weiter bis alle Daten übertragen wurden mit 2 MBit und endet. Ein paar Stunden später fängt eine neue Übertragung an und die Begrenzung greif nicht mehr, auch wenn der VPN-Tunnel die ganze Zeit aktiv blieb. Reset der VPN Verbindung und in den aller meisten Fällen greift danach die Begrenzung wieder.

Grüße, Dirk

[Dr.Einstein]

Welche LCOS Version? Ist aktuell bei dir 10.70RU2? Wenn ja, nimm mal bitte die 10.50RU9.

[backslash]

Hi dmun

Ein paar Stunden später fängt eine neue Übertragung an und die Begrenzung greif nicht mehr, auch wenn der VPN-Tunnel die ganze Zeit aktiv blieb. Reset der VPN Verbindung und in den aller meisten Fällen greift danach die Begrenzung wieder.

sicher daß dann auch die Session in die "richtige" Rictung aufgebaut wurde? Also aus einem beliebigen Netz in das Netz 192.168.60.x (genauer an die Ziel-Adresse 192.168.60.210 - 192.168.6??? - der gesamte Bereich ist aus den Screeenschots nicht erichtlich). Wenn nämlich eine Session in die andere Richtung aufgebaut wurde und die dann genzutzt wird, dann greift natürlich keine Limitierung...

Schau während des kopierens dochmal unter /Status/IP-Router/Connection-List nach, in welche Richtung die Session aufgebaut wurde - und ob auch die richtige Regel gematcht hat.

BTW: du hast in der Regel das Häcken bei "Diese Regel hält Verbindungszuszände nach (empfolen)" entfernt. Gibt es einen Grund dafür? Du solltest das Häkchen in jedem Fall setzen.

Gruß
Backslash

[dmun]

Herzlichen Dank für die Zahlreichen Rückmeldungen. Ich werde die Vorschläge der Reihe nach umsetzen und beobachten was passiert.
Der Hacken bei "...hält Verbindungszustände nach..." war am Anfang gesetzt und wurde im Lauf der Zeit im Rahmen der Ursachensuche entfernt. Ich werde diesen wieder setzen.

Grüße, Dirk

[GrandDixence]

Zustandstabelle der SPI-Firewall beobachten (LCOS-Menübaum > Status > IP-Router >Verbindungsliste). Und den "QoS-Guide" beachten. Siehe dazu:
fragen-zum-thema-firewall-f15/firewall- ... 19344.html

[dmun]

Hallo, kurze Rückmeldung zu dem Thema:
Der Tipp mit der Zustandstabelle war sehr hilfreich, denn dadurch musst eich feststellen, dass nicht eine sondern teilweise bis zu 8 Verbindungen gleichzeitig aufgemacht wurden und wie Backslash schon bemerkte war es wirklich so, dass manche Sessions auch von der anderen Seite aus aufgebaut wurden. Ich habe die Regel jetzt angepasst (Begrenzung des Limits pro Station sowie beide Seiten als mögliche Quelle) und jetzt scheint es zu funktionieren wie es soll.
Herzlichen Dank nochmals für die Unterstützung !

Grüße, Dirk