QoS bei IPSec Site 2 Site

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

QoS bei IPSec Site 2 Site

Beitrag von vitaminc »

Hi,

wie viel Sinn macht QoS im Site 2 Site IPSec Tunnel zwischen Zweigstellen und Zentrale?

Main Services/Applications: RDP, VoIP, Print und Web (http, https)

Bei MPLS hat man End-to-End QoS, bei VPN übers Internet eigentlich nur bis zum ISP, wenn ich richtig informiert bin.

Gruß
Sascha
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: QoS bei IPSec Site 2 Site

Beitrag von vitaminc »

Ich frag mal anders.

Wenn ich QoS für VoiP und RDP einsetzen möchte, dann hilft natürlich z.B. dieser KB:
https://www2.lancom.de/kb.nsf/1275/9586 ... enDocument

Aber damit QoS über den VPN Tunnel richtig funktioniert, reicht es da, diese Regel nur auf dem Zweigstellen-Router einzurichten oder muss es noch auf dem Zentral-Router und bei zusätzlicher Firewall auf der Zentrale auch da eingerichtet werden oder bringt das alles sowieso nix?
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: QoS bei IPSec Site 2 Site

Beitrag von Dr.Einstein »

Hi vitaminc,

ist auf jeden Fall besser als nichts, zumindest wenn du aktuell Probleme hast. Wenn du in der Zweigstelle etwas einstellst, kannst du zumindest 100% des Uploads (aus Sicht der Zweigstelle) sicherstellen. In Downloadrichtung sieht es anders aus. Hier kommen Internet und VPN Daten an. VPN kannst du durch Regelwerk in der Zentrale beeinflussen, Internet eher weniger. Wenn du jeglichen Traffic, also auch Internet, über die Zentrale tunnelst, hättest du sogar die Möglichkeit, Download und Upload aus Sicht der Zweigstelle zu priorisieren.

Im Normalfall reicht aber der Mittelweg, Zweigstelle bekommt auf jeden Fall QoS, Zentrale nur, wenn hier ein Flaschenhals existiert.

Gruß Dr.Einstein
vitaminc
Beiträge: 111
Registriert: 15 Jun 2008, 11:54

Re: QoS bei IPSec Site 2 Site

Beitrag von vitaminc »

Hi,

Probleme existieren aktuell keine, liegt aber auch daran, weil wir in den Zweigstellen mit Thin Clients arbeiten, die aktuell kein lokales Arbeiten auf dem Client zulassen. Somit haben wir hauptsächlich nur RDP (Terminal Server) und Printing. Alles andere wird auf dem Terminal Server durchgeführt.
Das wird sich aber nun ändern da wir von Thin Clients auf Fat Clients migrieren, somit werden die Mitarbeiter ab sofort Office und Web auf dem lokalen Desktop durchführen. D.h. ich habe jetzt zusätzlich http/https und SMB auf dem Client. Ich könnte mir vorstellen damit könnte man die Leitung relativ einfach an das Limit bringen, wenn nur 1 Mitarbeiter größere Downloads/Uploads/SMB Filetransfers durchführt. Ich dachte es wäre evtl. von Vorteil folgendes QoS Modell zu fahren:
VoIP wird priorisiert: https://www2.lancom.de/kb.nsf/1275/9586 ... enDocument
RDP mit Minimum Bandbreite per Session von z.B. 350kb/s
HTTP/HTTPS mit Bandbreitenlimit: https://www2.lancom.de/kb.nsf/fe78f8220 ... enDocument
Evtl. müsste ich noch wegen Printing und SMB schauen, aber im Endeffekt ist QoS eigentlich nur Tuning, und so bin ich mir nicht sicher ob das überhaupt alles sinnvoll ist.

z.B.
cd /Setup/IP-Router/Firewall/Actions
# Name Description
# -------------------------------------------------------------------------------------------------------
add "RTP0" {Description} "%Ft512 @dEF %Fp512 @dEF %Qutfds80 @dEF"


cd /Setup/IP-Router/Firewall/Objects
# Name Description
# -------------------------------------------------------------------------------------------------------
add "SIP" {Description} "TCP UDP %S5060-5061"

cd /
cd /Setup/IP-Router/Firewall/Rules
# Name Prot. Source Destination Action Linked Prio Firewall-Rule VPN-Rule Stateful Src-Tag Rtg-tag Comment
# ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add "SIP-SIGNALISIERUNG" {Prot.} "ANY" {Source} "ANYHOST" {Destination} "SIP ANYHOST" {Action} "ACCEPT %Qcds1" {Linked} No {Prio} 0 {Firewall-Rule} Yes {VPN-Rule} No {Stateful} Yes {Src-Tag} 0 {Rtg-tag} 0 {Comment} ""
add "RTP" {Prot.} "UDP" {Source} "ANYHOST" {Destination} "ANYHOST" {Action} "ACCEPT RTP0" {Linked} No {Prio} 0 {Firewall-Rule} Yes {VPN-Rule} No {Stateful} Yes {Src-Tag} 0 {Rtg-tag} 0 {Comment} ""
add "WEB-MAX-BANDWIDTH" {Prot.} "ANY" {Source} "ANYHOST" {Destination} "HTTP HTTPS ANYHOST" {Action} "%Luds5000 @v %D" {Linked} No {Prio} 0 {Firewall-Rule} Yes {VPN-Rule} No {Stateful} Yes {Src-Tag} 0 {Rtg-tag} 0 {Comment} ""
add "RDP-QOS" {Prot.} "ANY" {Source} "ANYHOST" {Destination} "RDP ANYHOST" {Action} "ACCEPT %Qcds350" {Linked} No {Prio} 0 {Firewall-Rule} Yes {VPN-Rule} No {Stateful} Yes {Src-Tag} 0 {Rtg-tag} 0 {Comment} ""
Antworten