QoS innerhalb eines VPN

[Koppelfeld]

Guten Morgen !
Eine VPN-Verbindung in eine Kundenniederlassung ist stark belastet.
Ich würde gerne den UDP-Traffic (RTP) priorisieren. Die Regeln sind hinlänglich bekannt, es stellt sich jedoch kein ordentliches Ergebnis ein.

Nun frage ich mich: Wie auch? Die kritische Strecke ist die WAN-Strecke.
Über die laufen keine Pakete, welche für die Regeln passen.

Also: Zwei VPNs erstellen und eines davon priorisieren ?
Oder gibt es eine bessere Lösung.

Apropos priorisieren:
Geht es eigentlich auch "einfacher" als mit "Bandbreitenreservierung" ?
Im Manual steht ausdrücklich, LCOS habe einige vordefinierte Queues, 'immediate expedition', 'normal Traffic', 'delayed expedition' etc.. Kann ich nicht qua Firewallregel bestimmte Pakete direkt einer Queue zuweisen ?

[Bernie137]

Moin,

Nun frage ich mich: Wie auch? Die kritische Strecke ist die WAN-Strecke.
Über die laufen keine Pakete, welche für die Regeln passen.

Das verstehe ich gerade nicht. Kannst Du dass näher erläutern?

vg Bernie

[Koppelfeld]

Nun frage ich mich: Wie auch? Die kritische Strecke ist die WAN-Strecke.
Über die laufen keine Pakete, welche für die Regeln passen.

Das verstehe ich gerade nicht. Kannst Du dass näher erläutern?

Der Router sieht ja auf der VPN-Strecke kein IP-Paket mit Protokollnummer 17(UDP), sondern eines mit Nummer 50(ESP). Da kann er nicht diskriminieren.

[Bernie137]

Der Router sieht ja auf der VPN-Strecke kein IP-Paket mit Protokollnummer 17(UDP), sondern eines mit Nummer 50(ESP). Da kann er nicht diskriminieren.

Daher macht ja eine solche Priorisierung auch nur auf den Routern Sinn, wo der VPN-Tunnel terminiert. Dort liegen die Protokolle doch klar vor. In Deinem Fall sind das Router irgendwo dazwischen?

[Koppelfeld]

Der Router sieht ja auf der VPN-Strecke kein IP-Paket mit Protokollnummer 17(UDP), sondern eines mit Nummer 50(ESP). Da kann er nicht diskriminieren.

Daher macht ja eine solche Priorisierung auch nur auf den Routern Sinn, wo der VPN-Tunnel terminiert. Dort liegen die Protokolle doch klar vor. In Deinem Fall sind das Router irgendwo dazwischen?

Beide Router terminieren den VPN-Tunnel am jeweiligen Ende.

Nur: Der eine Router ist mit 155 MBit/s angebunden, der pustet Dir (mit UDP, wohlgemerkt) Deine Gegenstelle dicht.

Ich brauche eine Priorisierung, welche greift, __bevor__ das Paket in den Tunnel eingetütet wird und generell UDP bevorzugt. Habe ich erst einmal ESP, bringt eine Priorisierung nichts mehr. Denn durch den Tunnel geht jede Menge anderes Zeugs.

[Jirka]

Guten Morgen !

Ebenfalls

Über die laufen keine Pakete, welche für die Regeln passen.

Doch. Der VPN-Tunnel kommt erst NACH der Firewall. D. h. in der Firewall des LANCOM-Routers, der eine VPN aufbaut, kannst Du Bandbreiten für bestimmte Dienste in der VPN reservieren, also auf IP-Adressen oder Dienste zugreifen vor der VPN-Verschlüsselung.

Also: Zwei VPNs erstellen und eines davon priorisieren ?

Nein, das wäre nicht gut.

Geht es eigentlich auch "einfacher" als mit "Bandbreitenreservierung" ?
Im Manual steht ausdrücklich, LCOS habe einige vordefinierte Queues, 'immediate expedition', 'normal Traffic', 'delayed expedition' etc.. Kann ich nicht qua Firewallregel bestimmte Pakete direkt einer Queue zuweisen ?

-> Unter Aktionen "Markieren mit DiffServ-CP" anhaken
(Im IP-Router muss dann noch "DiffServ-Feld beachten" angehakt sein, das ist inzwischen defaultmäßig der Fall (bei neuen Konfigs). Vor nicht allzulanger Zeit musste man das immer noch manuell zuschalten.)

Nur: Der eine Router ist mit 155 MBit/s angebunden, der pustet Dir (mit UDP, wohlgemerkt) Deine Gegenstelle dicht.

Wenn außer dem RDP noch sonstiger UDP-Traffic in großen Massen auf die Leitung geht, dann kann die Empfangsseite übrigens nicht einbremsen und Bandbreite reservieren, weil sich logischerweise nur TCP einbremsen lässt. Was an UDP eintrudelt ist da... Und das nächste UDP-Paket kommt, ob ich das aktuelle noch in der Warteschlange vorhalte (und damit verzögere) oder nicht.
Das ist das eine. Das andere: Achte drauf, ob Deine Regeln greifen, RDP ist diesbezüglich manchmal echt nervig.

Viele Grüße,
Jirka

[Koppelfeld]

Doch. Der VPN-Tunnel kommt erst NACH der Firewall. D. h. in der Firewall des LANCOM-Routers, der eine VPN aufbaut, kannst Du Bandbreiten für bestimmte Dienste in der VPN reservieren, also auf IP-Adressen oder Dienste zugreifen vor der VPN-Verschlüsselung.

Als Kind bin ich immer sehr gut damit gefahren, ein Schaltbild so aufzufassen, "als wäre ich der elektrische Strom und passierte die einzelnen Bauelemente". Dieses bewährte Verfahren taugt durchaus auch für das Verständnis paketvermittelter Dienste. Da stelle ich mir halt vor, ich wäre ein Paket und ein Router ist dann eine Kreuzung mit Wegweiser.
Also, wenn ich als Paket zuerst die "Router-QoS-Firewall" des Lancom passiere: Woher will der Router eigentlich wissen, über welche Strippe ich, als ESP getarnt, den Router zu verlassen gedenke ?
Denn das entscheidet sich ja viel, viel später ! Nämlich -- wiederum im Router, wo typischerweise anhand von VPN-Tag und Routingtabelle das Zielinterface determiniert wird.

Also: Zwei VPNs erstellen und eines davon priorisieren ?

Nein, das wäre nicht gut.

Das funktioniert auch nicht. Zwei Tunnel, die an jedem Endpunkt verschiedene WAN-Gegenstellen bedienen - kein Problem. Aber wehe, auf einer Seite terminiert ein Router zwei Tunnel von ein- und dergleichen Gegenstelle kommend auf einem Interface ! Das ist gruselig, damit kippt mir eine zugesagte Funktionalität.

Geht es eigentlich auch "einfacher" als mit "Bandbreitenreservierung" ?
Im Manual steht ausdrücklich, LCOS habe einige vordefinierte Queues, 'immediate expedition', 'normal Traffic', 'delayed expedition' etc.. Kann ich nicht qua Firewallregel bestimmte Pakete direkt einer Queue zuweisen ?

-> Unter Aktionen "Markieren mit DiffServ-CP" anhaken

Wenn ich bei manchen Kunden mit "Windows" ankomme, fliege ich 'raus. Als Geschäftsführer einer GmbH handle ich grob fahrlässig, wenn ich "Windows" einsetze.
Ich hätter gern einmal die CLI Reference und die Erläuterung der Parameter für QoS.

Das ist das eine. Das andere: Achte drauf, ob Deine Regeln greifen, RDP ist diesbezüglich manchmal echt nervig.

Den Teufel werde ich tun und "RDP" verwenden -- das ist so "modern" wie Faxen statt E-Mail.
Ich bin immer wieder fassungslos, wie der gemeine IT-Idiot sich nach Strich und Faden verkackarschen läßt und bereitwillig jeden Scheißdreck mitmacht. CITRIX ist ja auch nicht besser.
Du willst mir doch nicht unterstellen, bei einem solchen Unsinn mitzumachen ???

Übrigens *psssst* verwendet "RDP" neuerdings einen ganzen Mischmasch aus Protokollen, auch UDP, denn der einzige Vorteil dieses Protokolls, seine einfache Routbarkeit, mußte dringend abgeschafft werden.

[Bernie137]

Als Kind bin ich immer sehr gut damit gefahren, ein Schaltbild so aufzufassen, "als wäre ich der elektrische Strom und passierte die einzelnen Bauelemente". Dieses bewährte Verfahren taugt durchaus auch für das Verständnis paketvermittelter Dienste. Da stelle ich mir halt vor, ich wäre ein Paket und ein Router ist dann eine Kreuzung mit Wegweiser.
Also, wenn ich als Paket zuerst die "Router-QoS-Firewall" des Lancom passiere: Woher will der Router eigentlich wissen, über welche Strippe ich, als ESP getarnt, den Router zu verlassen gedenke ?

Aber bitte? In der Firewall gibt es Quelle und Ziel - das sollte Dir doch hinlänglich bekannt sein? Bei Ziel kann man doch ein oder mehrere VPN-Gegenstellen, IPs oder gar ganze IP-Netze angeben.

Wenn ich bei manchen Kunden mit "Windows" ankomme, fliege ich 'raus.

Das mag sein.

Als Geschäftsführer einer GmbH handle ich grob fahrlässig, wenn ich "Windows" einsetze.

Das ist absoluter Quark! Es gibt eben versch. Firmen und Anwender und ich habe schon ünzählige Programme erlebt, die gibt es einfach NUR für Windows. Hast Du schon mal eine Steuerkanzlei ohne Datev gesehen?

Den Teufel werde ich tun und "RDP" verwenden -- das ist so "modern" wie Faxen statt E-Mail.

Und wieder absoluter Blödsinn. Bleiben wir beim Beispiel Szeuerkanzlei. Die Leute, die zentralisiert Anwendungen bereit stellen müssen, wissen es zu schätzen, dass es RDP/Citrix Server gibt - auch wenn das nicht jeden IT-Fachmann begesitert. Also halt den Ball flach!

Gruß Bernie

[Bernie137]

Nur: Der eine Router ist mit 155 MBit/s angebunden, der pustet Dir (mit UDP, wohlgemerkt) Deine Gegenstelle dicht.

Komische Art für die Darstellung eines Sachverhaltes. Wenn doch die Leitung ohnehin mit UDP dicht ist, wozu noch priorisieren? Da müsste man jetzt ketzerisch nach so mancher TCP-Anwendung fragen. Vielleicht muss der Traffic auch auf der Gegenseite entsprechend seiner WAN-Bandbreite "eingetaktet" werden, aber da braucht man gerade eine Glaskugel zum mitdenken...

[Koppelfeld]

Bei Ziel kann man doch ein oder mehrere VPN-Gegenstellen, IPs oder gar ganze IP-Netze angeben.

Bloß: Was nützt es? Jirka sagt, "erst Firewall, dann Routing".
Aber erst beim Routing entscheidet sich, welche Leitung verwendet wird.

Als Geschäftsführer einer GmbH handle ich grob fahrlässig, wenn ich "Windows" einsetze.

Das ist absoluter Quark!

Das sind die unmittelbaren Folgen aus dem KonTraG.

Hast Du schon mal eine Steuerkanzlei ohne Datev gesehen?

Freilich - sogar in Deutschland.
In Sachen DATEV habe ich unfreiwillig eine gewisse Kompetenz, Vater und Schwester sind Steuerberater und die DATEV - Schnittstellen eines nicht unbekannten MDT-Anbieters habe ich entwickelt. Herrn Sebiger kenne ich persönlich und meine ersten Buchungen erfaßte ich auf einer Olivetti Audit 1731 "Telebanda".

Die DATEV war jahrzehntelang Vorreiter in Sachen Sicherheit.

Und dann fingen ein paar Spinner an, die Genossen von einer Sackgasse in die andere zu führen. Es fing mit "Novell" an, nahm standesgemäß die "DOS"-Leiche mit und führte mitten hinein in den AD-Sumpf. Dazu kamen unzählige "Datev Frameworks" und jede Menge zugekaufter Müll wie "Chrystal Reports".
Fast jede Woche habe ich mit Anwendern zu tun, die sagen, "Wir könnten doppelt so schnell buchen, wenn die "Komfort-Erfassung" nicht so lahm wäre".
Zwei Großkanzleien in meinem Umfeld hatten bereits Ransomware auf ihren "WTS"en, eine dritte dürfte sich über existenzgefährdenden Totalverlust aller Daten freuen.
Das Betriebskonzept der DATEV in seiner praktischen Ausführung in den Kanzleien entspricht nicht dem Stand der Technik und wird damit grob fahrlässig betrieben.

Den Teufel werde ich tun und "RDP" verwenden -- das ist so "modern" wie Faxen statt E-Mail.

Und wieder absoluter Blödsinn. Bleiben wir beim Beispiel Szeuerkanzlei.

Ja, gern! 30 Mitarbeiter eines Kunden nutzen, überall verteilt, die DATEV - Palette. Aber doch nicht über RDP!

Die Leute, die zentralisiert Anwendungen bereit stellen müssen, wissen es zu schätzen, dass es RDP/Citrix Server gibt - auch wenn das nicht jeden IT-Fachmann begesitert.

Die Leute wissen das so zu schätzen wie ein mit Handykamera aufgenommener Bildschirm, eingepackt in einer "Watsap"-Nachricht, anstatt eines 'Cut'n paste' zweier Zeilen in eine E-Mail.

Ich finde es aber bemerkenswert, wie bereitwillig die Leute für Zittrix oder MS - "CAL"s bezahlen.

Also halt den Ball flach!

Der Ball ist bereits so weit abehoben, daß viele nur noch den Wald sehen und nicht mehr die Bäume.

Ich mache Dir gerne einmal einen Testaccount mit NX.

[Bernie137]

Guten Morgen Koppelfeld,

Bloß: Was nützt es? Jirka sagt, "erst Firewall, dann Routing".

Aber schon in der Firewall kannst Du doch das Ziel für das Paket mit angeben. Daher verstehe ich das Problem noch nicht bzw. worauf Du hinaus willst.

Zur Nebendiskussion:
So eine Diskussion ist immer interessant, nur bläht es fix den Beitrag auf. Ich zweifle gar nicht an, was Du zu RDP schreibst. Es ist nicht ideal und doch führen immer wieder versch. Gründe dorthin. Knackpunkt war sinngemäß "Windows einsetzen ist grob fahrlässig". Und trotzdem kommt man nicht drumrum. Und so lese ich das auch, wenn Du über Datev schreibst.

Der Ball ist bereits so weit abehoben, daß viele nur noch den Wald sehen und nicht mehr die Bäume.

Ja, so lese ich Dich immer - eben noch einen nach setzen. Ich seh das aber mit einem Schmunzeln

Zurück zum Problem:
Schreibe doch bitte lieber ein paar Zeilen zum eigentlichen Problem. Macht es Dir was aus, Deine betreffenden Firewall Regeln zu posten? Bin ich richtig in der Annahme, dass die 155MBit Leitung die Zentrale ist? Es gibt dann aber ein Problem in der Niederlassung und die hat welche Bandbreite und welche Prio Rules?

Gruß Bernie

[Koppelfeld]

Moin!

Bloß: Was nützt es? Jirka sagt, "erst Firewall, dann Routing".

Aber schon in der Firewall kannst Du doch das Ziel für das Paket mit angeben.

Ich poste tatsächlich einmal die Regeln - das dauert, bis ich dort wieder Zugang habe.

Der Ball ist bereits so weit abehoben, daß viele nur noch den Wald sehen und nicht mehr die Bäume.

Ja, so lese ich Dich immer - eben noch einen nach setzen. Ich seh das aber mit einem Schmunzeln

Nicht, daß mir jemand unterstellt, ich wollte mich als besonderes "guter" Menschen profilieren.
Wir haben aber einen Kunden, der mir einmal, ohne selbst davon Nutzen zu haben, in einer sehr schwierigen Situation geholfen hat. So etwas verpflichtet. Das ist lange her und es ist eine gesunde, aber sehr kleine Firma mit etwa 30 Leuten und 4 Damen "auf dem Büro".
Das Dumme ist, die müssen alle Services vorhalten wie die Großbude 3 1/2 Kilometer weiter.
Nun sind in den letzten zwei Jahren Windows-Pflegekosten von über 50.000,-- angefallen.
Für einen DATEV-Arbeitsplatz, 1 zentrales "Office", ein Erodierprogramm, "SFIRM" und Zeitdatenerfassung "Zeus". Die Großbude steckt das locker weg, intern kalkulieren die mit 5.000,-- Supportkosten pro PC und Jahr + 2.500,-- Lizenzen. Der kleine Laden geht an solchen Kosten wirtschaftlich kaputt.
Die Idee hinter der Informationstechnologie ist aber, dem Unternehmen zu nützen und nicht, es umzubringen nach der Formel "ROI = R.I.P.".
Letztes Beispiel: In der kleinen Bude soll der IT-Profi der affilerten Steuerberatungsgesellschaft einen DATEV-Arbeitsplatz erstellen. Was macht er ? Er setzt einen "Windows 2012 Server" auf, und darin "verpackt" er: Einen DATEV-Arbeitsplatz als "Win7", einen SFIRM / Zeus - Server als "Win7", einen Clientrechner für "SFIRM" und "Zeus", ebenfalls als "Win 7". Macht vier Betriebssysteme, und zwei davon brauchen dann auch noch ein "Office", dann will er auch noch "Virenscanner". Dazu mußte noch ein "Dongleserver" installiert werden, damit "Smartcard" und "DATEV-Dongle" funktionieren.
Kosten: Nochmal 10 Riesen on top.

Ich glaube, daß die Realität mühelos jede noch so groteske Übertreibung einholt, die ich in meinem Leben von mir gegeben habe. "Wir" IT - Schaffende verkommen immer mehr zu einer optimierten Form von Meta-Bleistiftspitzern, über die wir uns in unserer Jugend kaputtgelacht haben. Und unsere Kunden lassen wir im Stich.

Das als Entschuldigung oder Erklärung für meine gelegentlichen Ausraster.

[backslash]

Hi Koppelfeld,

Bloß: Was nützt es? Jirka sagt, "erst Firewall, dann Routing".

ganz einfach: die Firewall verwaltet die IP-Sessions und schaut beim *ersten* Paket einer Session in die Routing-Tabelle und kennt somit das Ziel...

Gruß
Backslash