[solved] Bitte QOS Regeln überprüfen

JClasen · Beitrag von **JClasen** » 08 Jun 2007, 10:11

Moin zusammen,

ich hab hier zwei Standorte, die per VPN verknüpft sind (jeweils an 2MBit SDSL an Lancom 1711VPN). Standort A ist 192.168.1.* und Standort B ist 192.168.3.*. An Standort B gibt es auf 192.168.3.10 einen Datenbank-Server mit Firebird. Auf diese Datenbank wird mit einer Clientsoftware sowohl von Standort A, als auch von Standort B aus zugegriffen. Von Standort A aus greifen im Schnitt zwei wechselnde Clients auf die Datenbank zu, von Standort B dauernd 10.

Nun handelt es sich bei besagter Anwendung um eines unserer wichtigsten Informationsinstrumente, allerdings eben auch um eine ziemlich Ressourcen-fressende Angelegenheit.

Ich möchte nun also erreichen, daß die beiden Lancoms Verbindungen von und an 192.168.3.10 auf Port 3050 und durch das VPN-Netz priorisieren.

Folgende Schritte habe ich erledigt:
1) An Lancom A und Lancom B WAN-Interface auf 2100KBit/s (Up+Down) gedrosselt. (hängt über 100MBit am Cisco nach drausen)
2) Auf Lancom A habe ich die folgenden Regeln erstellt:

Code: Alles auswählen

Name Prot. Quelle Ziel Aktion verknuepft Prio Aktiv VPN-Regel Stateful Rtg-Tag Kommentar 
FIREBIRD_IN TCP,UDP %S3050 %A192.168.3.10-255.255.255.255 ANYHOST %Qcrds768 @v ja 0 nein ja ja 0  
FIREBIRD_OUT TCP,UDP ANYHOST %S3050 %A192.168.3.10-255.255.255.255 %Qctds768 @v ja 0 nein ja ja 0

3) Auf Lancom B sind es diese Regeln:

Code: Alles auswählen

Name Prot. Quelle Ziel Aktion verknuepft Prio Aktiv VPN-Regel Stateful Rtg-Tag Kommentar 
FIREBIRD_OUT TCP,UDP %S3050 %A192.168.3.10-255.255.255.255 ANYHOST %Qctds768 @v ja 0 nein ja ja 0  
FIREBIRD_IN TCP,UDP ANYHOST %S3050 %A192.168.3.10-255.255.255.255 %Qcrds768 @v ja 0 nein ja ja 0

Irgendwie hab ich nur das Gefühl, daß es das noch nicht ist. Zum einen ist der Client noch immer verdammt lahm von A aus, und zum anderen werden in /Status/IP-Router/QOS auch keine wartenden Pakete angezeigt. Auch ein Trace auf Firewall zeigt keine von den Regeln betroffenen Pakete an.

Ergo: Irgendwas mach ich hier falsch! Könnt Ihr mir da bitte mal auf die Sprünge helfen? Ich sitz jetzt schon ein paar Tage dran und blick es echt nicht mehr...

Gruß Jens

JClasen · Beitrag von **JClasen** » 08 Jun 2007, 12:32

Okay - das hat sich auch erledigt. Prio gesetzt und Haken bei Firewall gesetzt für alle 4 Regeln. Nun passt das etwas besser.

Gruß Jens
P.S.: Sorry für's ins falsche Forum posten. Das Firewall-Forum hatte ich irgendwie überlesen...

JClasen · Beitrag von **JClasen** » 08 Jun 2007, 14:50

Zu früh gefreut. Meine Tests ergeben eine Datenübertragungsrate von B nach A und retour von etwa 31kbyte/sek. trotz mitterweile erzwungenen 1.5Mbit.

Any ideas?

Gruß Jens

backslash · Beitrag von **backslash** » 08 Jun 2007, 17:50

Hi JClassen

Irgendwas mach ich hier falsch! Könnt Ihr mir da bitte mal auf die Sprünge helfen? Ich sitz jetzt schon ein paar Tage dran und blick es echt nicht mehr...

Der erste Fehler liegt hier:

%S3050 %A192.168.3.10-255.255.255.255

es muß jeweils

"%S3050 %A192.168.3.10 %M255.255.255.255"

lauten. Ein Blick in die Filterliste hätte dir gezeigt, daß deine Regeln nicht das machen, was sie machen sollen (es wird für alle Adressen > 192.168.3.10 eine Priorisierung vorgenommen - was gleichbedeutend mit keiner Priorisierung ist...).

Wenn die Regel eh nur auf eine Adresse matchen soll, dann kannst du dir die Angabe der Netzmaske auch sparen => "%S3050 %A192.168.3.10" ist ausreichend

Das zweite Problem: Die Regeln FIREBIRD_IN in StandortA bzw. FIREBIRD_OUT in Standort B sind vermutlich eh überflüssig, da der Zugriff ja vom Client aus erfolgt

Als nächstes ist eine Verlinkung der Regeln überflüssig - ebenso wie die erstellung einer VPN-Regel. Stattdessen mußt du sie als Firewallregel aktivieren!

Korrekt wäre also folgendes (unter der Annahme, daß der "wichtige" Traffic von der Datenbank zum Client läuft)

Standort A

Code: Alles auswählen

Name     Prot.   Quelle  Ziel                  Aktion       verknuepft Prio Aktiv VPN-Regel Stateful Rtg-Tag Kommentar 
FIREBIRD TCP,UDP ANYHOST %S3050 %A192.168.3.10 %Qcrds768 @v nein       0    Ja    nein      ja       0

und Standort B

Code: Alles auswählen

Name     Prot.   Quelle  Ziel                  Aktion       verknuepft Prio Aktiv VPN-Regel Stateful Rtg-Tag Kommentar 
FIREBIRD TCP,UDP ANYHOST %S3050 %A192.168.3.10 %Qctds768 @v nein       0    Ja    nein      ja       0

Wenn du auch den Traffic vom Client zum Server priorisieren willst fügst du jeweils eine weitere QoS-Aktion hinzu (z.B. für 128 kBit):

"%Qcrds768 %Qcts128" in Standort A und

"%Qctds768 %Qcrs128" in Standort B

wenn es in beiden Richtungen 768 kBit sein sollen, dann reicht auf beiden Standorten "%Qcds768".

Gruß
Backslash

JClasen · Beitrag von **JClasen** » 11 Jun 2007, 13:00

Hey Danke Dir. Soviel also zum Thema "verlass Dich nie auf Assistenten". In einem KB-Artikel steht, solche Dinge sein mit Lanconfig zu erledigen, und wenn man eine einzelne IP angeben will, dann möge man diese unter "Eine IP-Adresse oder ein Bereich von Adressen" anlegen und den zweiten Wert leer lassen. Soviel wohl dazu. Das hätt ich allerdings merken müssen.

Ich bau das ganze entsprechend Deiner Vorschläge um und geb morgen nochmal laut.

Vorerst nochmal danke.

JClasen · Beitrag von **JClasen** » 15 Jun 2007, 12:36

Besser spät als nie: Jetzt ist zumindestens die Geschwindigkeit zwischen A und B für die DB wie gewünscht. (Das langt zwar noch immer nicht, aber das wird wohl ne andere Baustelle ...)

Ich hab auf jeden Fall was dazu gelernt. Danke Dir nochmal.