QoS Interfaces - Wann greift was?

Hallo Zusammen,

bei mir macht sich gerade absolute Verwirrung breit. Mein SCE und SCA sind schon 6 Jahre her und jetzt habe ich das erste mal wieder mit dem QoS, zu kämpfen.

Folgendes Szenario: 

An einem Standort haben wir am Wochenende von einem Lancom auf UTM 9 umgestellt. An diesem Standort fließen große Datenmengen zu externen Partnern, sowie es werden von dem Partnern auch große Datenmengen geholt. 

Dazu gibt es die Regel:

Internal --> Spezielle Ports für die Partner --> Any ( da die IPs der Partner regelmäßig switchen).

Dazu läuft im Netz VoIP und noch kleinkram. 

Jetzt zum QoS: 

Ich habe entsprechende Traffic Selectors: 

Internal --> Spezielle Ports für Partner --> Any

Any --> Spezielle Ports für Partner --> Internal ( überhaupt nötig, da die Anfrage egal ob Down- oder Upload ja immer aus dem Internen Netz kommt, PF Regel brauche ich ja auch nur eine?)

Any --> SIP/RTP --> Any

Any --> Any --> Any (Rest)

Ich bin mir gerade absolut unsicher, auf welchem Interface ich die Bandbreiten Pools zuordne. Im Internet finde ich die wildesten und unterschiedlichsten Konfigs. 

Mein Ziel:

VoIP soll immer mindestens 1000kbit/s zur Verfügung haben. Eingehende Rufe, sowie Ausgehende

Die Datentransfers (Up, sowie Down) sollen mind. 100mbit/s zur Verfügung haben.

Alles andere soll mindestens 50mbit/s zur Verfügung haben. 

 

Insgesamt stehen 1gbit/s Internetleitung zur Verfügung (effektiv kommen davon aktuell aber nur ca. 300mbit/s (up/down).

Die Transfers ziehen sich allerdings aktuell teilweise alles und machen die Leitung dadurch komplett dicht ( IPsec Tunnel brechen ab, VoIP läut nicht mehr etc.)

 

Sorry für die Verwirrung, ich verzweifle gerade nur etwas und mein Kopf raucht schon. 

 

Cheers

Danny

 

 

  • Hab Dir ne PM geschickt!

  • In reply to ThorstenSult:

    könntest du mir bitte auch PM schicken? Habe da ein ähnliches Konstrukt und würde näheres wissen.

     

    Danke!

  • Hallo Thorsten,

     

    auf deine Seite bin ich natürlich auch gestoßen. Das mit den Invertports erschließt sich mir aber noch nicht ganz.

    Die Anfrage wird ja immer aus dem Internen Netz gestartet ( sei es ein Download oder ein Upload). Der Destinationport (z.B. FTP 21) wird sich doch gemerkt und dann auch für die Antwortpakete genutzt oder sehe ich das falsch? Sonst müsste ich doch für sämtliche Paketfilterrules auch den Invertport nutzen?

    cheers

    Danny

  • In reply to danny_mv:

    Hallo Danny,

    den Invertport musst du nicht in den Paketfilterregeln verwenden, da die Sophos eine Stateful Firewall beinhaltet, dass heißt, wenn eine Verbindung von intern initiert wird merkt sich die Sophos dies.
    Wenn nun die Antwort kommt, wird dies gegen eine Tabelle gegengeprüft, ob zu der Antwort eine solche Verbindung existiert und die Verbindung wird zugelassen.

    Bei den QoS ist es aber so, dass der Download im Prinzip als Quelle den Server hat, der als (Invert)Quellport 80/443 nutzt.
    Somit wäre die Definition des Paketes folgend:

    Quelle: Server
    Quellservice(InvertPort): 80/443
    Zielservice: Dein Anfrageport
    Ziel: Dein Downloadrechner

    Dies kann man auch wunderbar in einem tcpdump sehen.

    Gruß
    DKKDG

  • In reply to DKKDG:

    Hi DKKDG,

     

    besten Dank. Das ist genau die Antwort, die mir gefehlt hat. Ich bin davon ausgegangen, dass das QoS auch stateful ist bzw. auf die stateful Firewall referenziert. 

    In meinen alten SCE Unterlagen ist dazu leider nicht viel zu geschrieben. 

    Ich werde das ganze dann so einmal testen und die Regeln dann posten.

     

    cheers

    Danny

  • In reply to DKKDG:

    ich werde es in meinm Blogbeitrag ergänzen...