Hallo,
ich glaube ich habe ein Verständnisproblem mit der aktuellen LCOS Firewall.
IST-Zustand:
Lancom L54 DUAL, per WLAN am Office angebunden, läuft als Router (Isolierter Modus), am LAN hängt das Homeoffice mit 10.10.200.0/24
Beim Erstellen von Regeln will der Lancom ja nur wissen wer die Verbindung initiert hat. Das ist ja soweit auch ok.
Nun möchte ich aber die Bandbreite asynchron beschränken. Ich habe also zwei Regeln, einmal mit Quelle ALL und mit Ziel das lokale IP-Netz und natürlich das ganze nochmal umgekehrt.
Bei Aktion dann einmal 1024 kbits in der einen Regel und 2048 kbits in der anderen.
Bei Einzelnen Verbindungen klappt das auch, fange ich aber nun einen Download aus dem lokalen Netz an, dann wird dieser erstmal wie es sein soll auf 2048 kbits beschränkt. Baue ich nun zusätzlich eine Verbindung von aussen in das lokale Netz auf und schiebe Daten, so wird natürlich die zweite Regel gültig (die Verbindung kommt ja nun von "aussen") und die Bandbreiten Adieren sich auf ~ 3072 kbits.
Ist in sich logisch, aber nicht gewollt.
Wie kann ich bewerkstelligen das es für das gesamte HomeOfficenetz wirklich nur 1024 UP und 2048 DOWN gibt?
Ich bin sicher das ich nur einen Denkfehler habe, aber ich raffs im Moment einfach nicht.
Verständnisfrage Firewall / Bandbreitenbeschränkung
Moderator: Lancom-Systems Moderatoren
Verständnisfrage Firewall / Bandbreitenbeschränkung
Gruß,
Sascha
L-54 dual, OAP-54, usw.
Sascha
L-54 dual, OAP-54, usw.
Hi sfleiss
Und das WAN-Interface bekommst du, wenn du das DSLoL-Interface an das WLAN bindest...
Du kannst es aber auch einfacher haben, indem du den Client-Modus auf dem WLAN-Interface nutzt, denn dann kannt du die Limits dort direkt einstellen... (und du sparst dir das Geraffel mit dem DSLoL-Interface...)
Gruß
Backslsh
In der Firewall geht das nur, wenn eine Richtung ein WAN-Interface ist, denn dann kannst du das in einer Regel erschlagen:Wie kann ich bewerkstelligen das es für das gesamte HomeOfficenetz wirklich nur 1024 UP und 2048 DOWN gibt?
Code: Alles auswählen
Aktion: Bedingung: für gesendete Pakete in physikalisher Transportrichtung
Trigger: 1024 bBit pro Sekunde, global
Paket-Aktion: verwerfen
Bedingung: für empfangene Pakete in physikalisher Transportrichtung
Trigger: 2048 bBit pro Sekunde, global
Paket-Aktion: verwerfen
Quelle: alle Stationen
Ziel: alle Stationen
Dienste: alle DiensteDu kannst es aber auch einfacher haben, indem du den Client-Modus auf dem WLAN-Interface nutzt, denn dann kannt du die Limits dort direkt einstellen... (und du sparst dir das Geraffel mit dem DSLoL-Interface...)
Gruß
Backslsh
Hallo,
danke für die schnelle Antwort. Auf die Idee mit dem DSLoL bin ich gestern auch gekommen, das hat auch prima geklappt und als nette Nebenwirkung geht dann sogar das Masquerading.
Hat aber den Nachteil das es Geräteweit gilt. Mir wäre es lieber ich könnte das auf IP-Ebene lösen. Zum Beispiel damit mir ein laufendes Backup nicht die Arbeit vermiesst.
Genaugenommen brauche ich diese Bedingung:
If Datenpacket mit Quelle A und Ziel X dann Bandbreite auf y (egal wer die Verbindung aufgebaut hat)
und natürlich umgekehrt. Mein Problem ist das LCOS immer berücksichtigt wer die Verbindung aufgebaut hat, mich interessiert aber nur in welche Richtung der Traffic läuft.
Prinzipiell scheint es ja zu funktionieren, nur halt nicht wie erwartet. Jetzt ist für mich nur die Frage, bin zu zu doof zu raffen wie Lancom sich das gedacht hat, oder kann ich das Szenario mit Lancom nicht abdecken?
danke für die schnelle Antwort. Auf die Idee mit dem DSLoL bin ich gestern auch gekommen, das hat auch prima geklappt und als nette Nebenwirkung geht dann sogar das Masquerading.
Hat aber den Nachteil das es Geräteweit gilt. Mir wäre es lieber ich könnte das auf IP-Ebene lösen. Zum Beispiel damit mir ein laufendes Backup nicht die Arbeit vermiesst.
Genaugenommen brauche ich diese Bedingung:
If Datenpacket mit Quelle A und Ziel X dann Bandbreite auf y (egal wer die Verbindung aufgebaut hat)
und natürlich umgekehrt. Mein Problem ist das LCOS immer berücksichtigt wer die Verbindung aufgebaut hat, mich interessiert aber nur in welche Richtung der Traffic läuft.
Prinzipiell scheint es ja zu funktionieren, nur halt nicht wie erwartet. Jetzt ist für mich nur die Frage, bin zu zu doof zu raffen wie Lancom sich das gedacht hat, oder kann ich das Szenario mit Lancom nicht abdecken?
Gruß,
Sascha
L-54 dual, OAP-54, usw.
Sascha
L-54 dual, OAP-54, usw.
Hi sfleiss
"globale" Limits gelten nur für die Sessions, die über die selbe Regel aufgebauft wurden, d.h. wenn du zwei Regeln hast, dann hast du auch sich addierende Limits...
Das heißt, du mußt beide Richtungen in *einer* Regel erfassen, weshalb in obiger Regel bei Quelle und Ziel "alle Stationen" steht. Wenn du es stationsabhängig haben willst, dann mußt du als Quelle *und* Ziel halt die IPs beider Seiten angeben:
damit greift diese Regel für alle einkommenden und abgehenden Sessions von und zu den aufgelisteten IPs... Dadurch, daß das WLAN an das DSLoL gebunden ist, greift bei den limits die "physikalische" Transportrichtung und somit ergibt sich das von die gewünschte Verhalten
Gruß
Backslash
"globale" Limits gelten nur für die Sessions, die über die selbe Regel aufgebauft wurden, d.h. wenn du zwei Regeln hast, dann hast du auch sich addierende Limits...
Das heißt, du mußt beide Richtungen in *einer* Regel erfassen, weshalb in obiger Regel bei Quelle und Ziel "alle Stationen" steht. Wenn du es stationsabhängig haben willst, dann mußt du als Quelle *und* Ziel halt die IPs beider Seiten angeben:
Code: Alles auswählen
Aktion: wie oben
Quelle: Liste aller Quell-IPs und Ziel-IPs
Ziel: Liste aller Quell-IPs und Ziel-IPs
Dienste: alle DiensteGruß
Backslash