Verständnisproblem QoS/Bandbreitenreservierung

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
joeMJ
Beiträge: 359
Registriert: 18 Feb 2005, 21:03
Wohnort: Krefeld/NRW
Kontaktdaten:

Verständnisproblem QoS/Bandbreitenreservierung

Beitrag von joeMJ »

Hallo zusammen,

ich habe ein technisches Problem beim Thema QoS/Bandbreitenreservierung. Wir nutzen inzwischen einen Starface Anlagenverbund (Asterisk) mit mehreren Partnern. Die Standorte sind alle untereinander ausschließlich per Lancom S2SVPN verbunden (teilweise CoCo, teilweise QSC, teilweise klassisches DSL). Die S2SVPN Tunnel sind selbst rockstable, funktionieren super, da will ich nix dran kommen lassen.

Allerdings habe ich "akustische Probleme" bei meiner Regeldefinition.

Teilweise wird das Gespräch zerwürfelt. Da ja das RTP vom Endgerät gesprochen wird (m.E.) und nur TCP5060 für die SIP-Initialisierung verwendet wird, kann ich hier nur schwer definieren, wie eine Regel auszusehen hat. Wenn jetzt ein Teilnehmer per RDP mit einem Server auf der Gegenseite spricht oder auch nur eine simple Email von einem Exchange abholt, wird diese Bandbreite ja ebenfalls in die Regel hineinberechnet, obwohl das nur Telefonie betreffen soll. Ich habe ja auch teilweise (Screenshot siehe unten von meinem HomeOffice Standort) nicht so viel Bandbreite über, da nur 800K Upstream vorhanden ist.

Gibt's irgendwie 'ne Möglichkeit den Verkehr nur zu Priorisieren? Also so mit Tagging (Fehlt mir die Kenntnis, hab' keinen CCNA) zwischen Lancoms? Wie würdet Ihr denn eine S2SVPN-QOS Regel gestalten, die nur für SIP-Telefongeräte gilt, im Asterisk Anlagenverbund über S2SVPN?
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Cheers,
Joe
Benutzeravatar
Bernie137
Beiträge: 1682
Registriert: 17 Apr 2013, 21:50
Wohnort: zw. Chemnitz und Annaberg-Buchholz

Re: Verständnisproblem QoS/Bandbreitenreservierung

Beitrag von Bernie137 »

Moin,
Teilweise wird das Gespräch zerwürfelt. Da ja das RTP vom Endgerät gesprochen wird (m.E.) und nur TCP5060 für die SIP-Initialisierung verwendet wird, kann ich hier nur schwer definieren, wie eine Regel auszusehen hat. Wenn jetzt ein Teilnehmer per RDP mit einem Server auf der Gegenseite spricht oder auch nur eine simple Email von einem Exchange abholt, wird diese Bandbreite ja ebenfalls in die Regel hineinberechnet, obwohl das nur Telefonie betreffen soll. Ich habe ja auch teilweise (Screenshot siehe unten von meinem HomeOffice Standort) nicht so viel Bandbreite über, da nur 800K Upstream vorhanden ist.
Man muss dafür Sorge tragen, dass die Regel nur den Traffic bevorzugt, auf den es ankommt. Dazu hat man mehrere Möglichkeiten:
- Einschränkung von Quelle und Ziel -> Seite Stationen
- Einschränkung von Quell- und Ziel-Diensten -> Seite Dienste
Auch Kombinationen sind natürlich möglich. Leider zeigst Du nicht, wie da die entsprechende Rule konfiguriert ist, aber anhand Deiner Beschreibung steht da auch nichts drin und das ist das Problem. TCP/IP Druck bassiert auf TCP9100, RDP ist Port 3389 und SIP sagst Du ist TCP5060. Warum schränkst Du nicht die Regel ein, dass nur noch TCP5060 bevorzugt wird? Das Häckchen "erzwungen" habe ich mir eingeprägt ist eher nachteilig. Deine Regel besagt 128kBit Global. Das ist der falsche Ansatz. Wenn ein Gespräch 128kBit braucht, dann muss auch 128kBit pro Session konfiguriert werden.

Viele Grüße
Heiko
Man lernt nie aus.
Benutzeravatar
joeMJ
Beiträge: 359
Registriert: 18 Feb 2005, 21:03
Wohnort: Krefeld/NRW
Kontaktdaten:

Re: Verständnisproblem QoS/Bandbreitenreservierung

Beitrag von joeMJ »

Hallo ;-)

Ich glaube, ich habe mich missverständlich ausgedrückt. Die Ports kenne ich schon ein klein wenig seit der Schule ;-) anno driet inne pief... :oops:

Nochmal zur Verdeutlichung wie klassisches VOIP via SIP (ich mag auch falsch liegen) m.E. so in etwa funktioniert im Falle eines Anlagenverbunds:

Externes Telefon -> TCP-5060 (SIP) -> Externe Telefonanlage -> TCP-5060 (SIP) -> Interne Telefonanlage -> Alle bei interner Telefonanlage der Rufnummer zum Account passende, angemeldete Telefone -> TCP-5060 (SIP). Darüber wird aber keine Sprache übertragen. Denn: Telefon wird abgehoben, Telefon weiß dann über Session Initiating Protokoll (SIP) wo gegnerisches Telefon ist sowie dessen Lauscher und beide bauen dann via UDP-Irgendeinport (RTP) eine RTP-Sitzung auf. Das macht man so, weil TCP dafür in der Regel zu langsam ist, hier wird einfach per UDP in den "Äther gebrüllt" ohne Prüfsummenverfahren, wie bei TCP. Das ganze natürlich unverschlüsselt, ohne TLS.

In sofern kannst Du nie sagen, welches Telefon gemeint ist (Quelle + Ziel), sowie welcher Port per UDP verwendet wird. Das einzige, was Du kennst, ist die Anlage, hilft Dir aber nicht, weil über SIP wird nicht gequatscht, sondern über RTP. Den Portbereich kannst Du zwar einschränken, aber hilfreich ist das nicht. In sofern gestaltet sich eine Regelerzeugung für mich mangels Verständnis Lancom relativ schwierig. Deswegen fällt für mich auch folgendes flach:
- Einschränkung von Quelle und Ziel -> Seite Stationen
- Einschränkung von Quell- und Ziel-Diensten -> Seite Dienste
Du kannst zwar jetzt für alle Telefone 128K reservieren, wen Du die IP's im DHCP reservierst oder per MAC die Regel definierst, doch das wird bei 800K Upstream sehr schnell sehr sehr knapp. an HD Audio mit Snömchen brauchst Du dann gar nicht mehr denken. Also suche ich nach einem Best Practice / KB-Artikelempfehlung für VOIP via SIP. Deswegen hatte ich auch Global gewählt, so dass wenigstens einer quatschen kann. Hier habe ich nicht 5060 gewählt, sondern die passende UDP-Portrange. Das klappt aber in der Regel nicht mehr, wenn zwei Gespräche geführt werden, bzw. wird ganz schlimm, wenn zwei Quatschen und einer davon noch eine Konferenz aufbaut. Wenn einer dann was nutzt, was in UDP und diese Portrange reinfällt, dann wird's ganz schlimm. Dann gibt's nur noch Gewürfeltes. Ich könnte jetzt die dreifache, vierfache, fünffache Menge wegnehmen, das ist bei DSL-Partnern aber sehr schwierig, da die einfach keinen Upstream haben, ich leider auch nicht (DSL-Arcor ist hier in Krefeld ganz schlimm). Bei CoCo Partnern kann man tatsächlich so verfahren. Am liebsten würde ich eine IP-Anwendung erkennen... So wie bei einer TMG mit SIP-Filter. So ist mein Stand momentan - Die Listenübersicht ist wohl besser - vlt. habe ich ja auch einen Denkfehler, denn schön ist das nicht wirklich:
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Zuletzt geändert von joeMJ am 07 Nov 2013, 09:13, insgesamt 1-mal geändert.
Cheers,
Joe
Dr.Einstein
Beiträge: 2036
Registriert: 12 Jan 2010, 14:10
Wohnort: Berlin

Re: Verständnisproblem QoS/Bandbreitenreservierung

Beitrag von Dr.Einstein »

Ich würde von deinem bisherigen Weg abraten, und QoS ausschließlich über den DSCP realisieren. Dazu müsstest du nur in die Endgeräte reingehen und die QoS Einstellungen innerhalb des Gerätes kontrollieren. Hierbei sollte es zwei verschiedene Klassen geben, einmal für Signalisierung (5060) und für Sprache (RTP). Die Werte sollten sich idealerweise bei allen Endgeräten inkl. TK-Anlage gleichen und nicht mit anderen Anwendungen im Netzwerk kollidieren. Wenn das der Fall ist, einfach zwei QoS Regeln bauen, wo Stationen und Dienste beliebig sind und QoS sich an dem DSCP orientiert einmal für Sprache einmal für Signalisierung.

Für Signalisierung würde ich global so 10 kbit/s reservieren, bei Sprache kommt es drauf an. Pro Session kann ich von abraten, da ein Telefon meist 2..3 aktive Verbindungen hat und der Router dadurch zu viel reserviert. Pro Station oder global hilft bei mir hier meist.

Gruß Dr.Einstein
Benutzeravatar
joeMJ
Beiträge: 359
Registriert: 18 Feb 2005, 21:03
Wohnort: Krefeld/NRW
Kontaktdaten:

Re: Verständnisproblem QoS/Bandbreitenreservierung

Beitrag von joeMJ »

Für Signalisierung würde ich global so 10 kbit/s reservieren, bei Sprache kommt es drauf an. Pro Session kann ich von abraten, da ein Telefon meist 2..3 aktive Verbindungen hat und der Router dadurch zu viel reserviert.
Ja. Ist mir auch aufgefallen. Deswegen ist mein gewählter Weg ein Problem. Die Signalisierung hatte ich überhaupt nicht priorisiert.
Dr.Einstein hat geschrieben:Ich würde von deinem bisherigen Weg abraten, und QoS ausschließlich über den DSCP realisieren. Dazu müsstest du nur in die Endgeräte reingehen und die QoS Einstellungen innerhalb des Gerätes kontrollieren.
AHA! Danke! Irgendwie hatte ich das auch vor. Nur exakt genau davon habe ich keinen Plan :oops:, wie ich das in allen Lancoms und in allen SNOM Endgeräten realisieren soll. Ich crawle mal die KB's Stichwort DSCP.
Cheers,
Joe
Dr.Einstein
Beiträge: 2036
Registriert: 12 Jan 2010, 14:10
Wohnort: Berlin

Re: Verständnisproblem QoS/Bandbreitenreservierung

Beitrag von Dr.Einstein »

Hier mal ein Beispiel eines Siemens IP Telefon inkl QoS im Lancom hierfür. Die Umrechnung ist das einzig schwierige in manchen Fällen. In den Endgeräten steht manchmal ToS manchmal DSCP. Wenn es DSCP ist, dann kannst du im Lancom direkt "Wert" auswählen in der QoS Regel und den dezimalen Wert eintragen (manchmal stehts im Endgerät als Binär oder Hexadezimal da).

Bei Fragen helf ich gerne :)

Gruß Dr.Einstein
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Benutzeravatar
joeMJ
Beiträge: 359
Registriert: 18 Feb 2005, 21:03
Wohnort: Krefeld/NRW
Kontaktdaten:

Re: Verständnisproblem QoS/Bandbreitenreservierung

Beitrag von joeMJ »

Dr.Einstein hat geschrieben:Hier mal ein Beispiel eines Siemens IP Telefon inkl QoS im Lancom hierfür. Die Umrechnung ist das einzig schwierige in manchen Fällen. In den Endgeräten steht manchmal ToS manchmal DSCP. Wenn es DSCP ist, dann kannst du im Lancom direkt "Wert" auswählen in der QoS Regel und den dezimalen Wert eintragen (manchmal stehts im Endgerät als Binär oder Hexadezimal da).
Sauber, Dr. Einstein! Vielen lieben Dank! Ausspreche Anerkennung! Ich versuche, die Einstellung im SNOM zu adaptieren, das dürfte nicht länger dauern, als bei den Openstages.

"Diffserv-CP = EF" ist also gleich "Layer 3 voice 46 und Signalling 26" -> dieser exakte Zusammenhang der konfigurierten Werte im Geiste fehlt mir noch - Ich lese mich gerade ein. Sind denn diese Werte (TOS/DSCP) allgemein gültig? Durch Deinen Schlag mit dem Zaunpfahl bin ich nah dran - Danke dafür!

Einen hab' ich noch - leider - Die Anlagen, welche eine Sirrix drin haben, die müssten ja m.E. auch getaggt werden. Wie ich das auf Centos mache, habe ich noch keine Ahnung, da muss ich auch mal nachlesen. Die coolen Starfaces haben hier leider keine Einstellungsmöglichkeiten. Ich gehe aber davon aus, dass ich allen Geräten das Tagging mitteilen muss. Da kann ich aber auch im Starface-Forum fragen ob und wie ich das machen muss.
Du hast keine ausreichende Berechtigung, um die Dateianhänge dieses Beitrags anzusehen.
Cheers,
Joe
Dr.Einstein
Beiträge: 2036
Registriert: 12 Jan 2010, 14:10
Wohnort: Berlin

Re: Verständnisproblem QoS/Bandbreitenreservierung

Beitrag von Dr.Einstein »

joeMJ hat geschrieben:
"Diffserv-CP = EF" ist also gleich "Layer 3 voice 46 und Signalling 26" -> dieser exakte Zusammenhang der konfigurierten Werte im Geiste fehlt mir noch - Ich lese mich gerade ein. Durch Deinen Schlag mit dem Zaunpfahl bin ich nah dran - Danke dafür!
Vorsicht, nein. Layer 3 voice Dezimal 46 = EF. Mit Signalisierung hat das nix zutun. Signalisierung Dezimal 26 entspräche AF31. Such mal im Internet nach einer Tabelle, ich hatte mir mal vor Jahren eine händisch auf Papier gemacht mit Umrechnungen etc. ^^

Was Geräte ohne Einstellungsmöglichkeiten angeht: Viele haben Standardwerte, die im Handbuch hinterlegt sind oder aber mittels Wireshark herausfindbar sind.
Zuletzt geändert von Dr.Einstein am 07 Nov 2013, 10:01, insgesamt 1-mal geändert.
Benutzeravatar
joeMJ
Beiträge: 359
Registriert: 18 Feb 2005, 21:03
Wohnort: Krefeld/NRW
Kontaktdaten:

Re: Verständnisproblem QoS/Bandbreitenreservierung

Beitrag von joeMJ »

;-) Peng Hier wird's gut erklärt: http://www.voip-info.org/wiki/view/DiffServ

VERSTANDEN :D
Cheers,
Joe
Benutzeravatar
joeMJ
Beiträge: 359
Registriert: 18 Feb 2005, 21:03
Wohnort: Krefeld/NRW
Kontaktdaten:

Re: Verständnisproblem QoS/Bandbreitenreservierung

Beitrag von joeMJ »

Hallo Dr. Einstein. Danke Dir noch einmal für Deine Hilfe!
Aus dem Szenario entsteht eine HowTo, an der ich gerade bastel. Magst Du mal drüberschaun, was die Lancom-Konfig betrifft?

-> http://www.johnlose.de/?p=2409

LG
Joe
Cheers,
Joe
Benutzeravatar
Jirka
Beiträge: 5028
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Verständnisproblem QoS/Bandbreitenreservierung

Beitrag von Jirka »

Hi,

siehe auch: http://www.lancom-forum.de/lancom-wirel ... tml#p50952 (einzelner Beitrag)

http://www.lancom-forum.de/lancom-wirel ... 20diffserv (der ganze Thread)

Da ging es zwar vornehmlich um WLAN und Priorisierung und eher weniger um Firewall, aber die Grundlagen zu DSCP/DiffServ sind da gut durchgekaut...
P.S.: Ebenfalls nicht vergessen, in den LANCOMs im IP-Router "DiffServ-Feld beachten" anhaken... Das ist schon mal die halbe Miete, selbst wenn Firewall-Regeln (z. B. wegen Fehlern) nicht greifen sollten...

Viele Grüße,
Jirka
Dr.Einstein
Beiträge: 2036
Registriert: 12 Jan 2010, 14:10
Wohnort: Berlin

Re: Verständnisproblem QoS/Bandbreitenreservierung

Beitrag von Dr.Einstein »

Huhu,

schöner Beitrag. Was ich allerdings je nach Anschluss entscheiden würde, ist die Verwendung MTU ja oder nein. Ich weiß die Rechenformel aktuell nicht ausm Kopf aber wenn eine bestimmte maximale Uploadrate verfügbar ist, wirkt sich die MTU negativ aus. Und dieser Wert war schon relativ früh, bei 256 Kbit/s oder 512 Kbit/s (wie gesagt, Rechnung nicht da).

Gruß Dr.Einstein
Benutzeravatar
joeMJ
Beiträge: 359
Registriert: 18 Feb 2005, 21:03
Wohnort: Krefeld/NRW
Kontaktdaten:

Re: Verständnisproblem QoS/Bandbreitenreservierung

Beitrag von joeMJ »

Hallo Ihr beiden,

vielen Dank für Eure Rückmeldungen! Die helfen!

@Dr. Einstein - Da ich an mehreren Standorten mit Standard-DSL zu kämpfen habe, möchte ich das gerne korrigieren. Bezieht sich Deine Aussage rein auf die Fragmentierung oder auch auf die Pfad-MTU?

LG
Joe
Cheers,
Joe
Dr.Einstein
Beiträge: 2036
Registriert: 12 Jan 2010, 14:10
Wohnort: Berlin

Re: Verständnisproblem QoS/Bandbreitenreservierung

Beitrag von Dr.Einstein »

Meine Aussage bezog sich insgesamt auf die Reduzierung der maximal möglichen Paketgröße. Nach meinen Erfahrungen wirkt sich diese ab einem bestimmten Punkt negativ aus, auch auf VoIP Verbindungen, wenn der Upload zu hoch ist und Fragmentierung erzwungen wird. Aber jede Konstellation ist anders, es gibt kein globales Kochrezept für QoS -> VoIP
Benutzeravatar
joeMJ
Beiträge: 359
Registriert: 18 Feb 2005, 21:03
Wohnort: Krefeld/NRW
Kontaktdaten:

Re: Verständnisproblem QoS/Bandbreitenreservierung

Beitrag von joeMJ »

OK, besser verstanden, ein wenig korrigiert. Ich werde damit noch spielen - Vielen Dank!
Cheers,
Joe
Antworten

Zurück zu „Fragen zum Thema Firewall“