This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

QOS of Site-to-Site VPN Tunnels

Thanks for your help.

We have a backup application running from one site to another.   Both sides are connected via ASG 110 and ASG 120 IPSec site-to-site (s2s) VPN.   We have QOS running successfully for our normal traffic (i.e. http to web, smtp to web, etc.).  However, I am having difficulty applying QOS rules to the s2s VPN.   I am not sure how to structure them.  I have read that QOS is applied to outbound traffic, but apparently the traffic is encrypted prior to hitting the QOS.  How exactly should I go about configuring the box to apply QOS to all s2s traffic?   How would I do it for specific (i.e. Http) traffic inside the s2s tunnel.   Is there something I am missing?

Any help is appreciated!

Thanks.


This thread was automatically locked due to age.
Parents
  • Hey, Costak, welcome to Astaro andthe user BB!

    I wish there were more to tell you, but ...

    I have read this thread through and many others, and I still don't have a clear answer on how to configure a QoS for VoIP over a site-to-site IPSec VPN connection.

    You only can apply QoS rules to traffic leaving an interface, and you cannot apply QoS to traffic inside a VPN tunnel as it all looks like IPsec traffic. The following links to a thread discussing QoS and VPNs: https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/39516


    We have phone system and two locations. There are two Astaros used to connect two sites via IPSec VPN. VPN is used for both voice and data communication. The voice quality is poor.
    What can I do?

    If you know what's eating up the bandwidth, you might be able to throttle it leaving the internal interface on the receiving end.


    Then again, if you were to create a separate tunnel with SSL for the VoIP traffic, you could guarantee bandwidth for HTTP traffic between the two sites.  Of cousrse, the VoIP devices must be on subnets that don't overlap with the data subnets.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • Hey, Costak, welcome to Astaro andthe user BB!

    I wish there were more to tell you, but ...

    I have read this thread through and many others, and I still don't have a clear answer on how to configure a QoS for VoIP over a site-to-site IPSec VPN connection.

    You only can apply QoS rules to traffic leaving an interface, and you cannot apply QoS to traffic inside a VPN tunnel as it all looks like IPsec traffic. The following links to a thread discussing QoS and VPNs: https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/39516


    We have phone system and two locations. There are two Astaros used to connect two sites via IPSec VPN. VPN is used for both voice and data communication. The voice quality is poor.
    What can I do?

    If you know what's eating up the bandwidth, you might be able to throttle it leaving the internal interface on the receiving end.


    Then again, if you were to create a separate tunnel with SSL for the VoIP traffic, you could guarantee bandwidth for HTTP traffic between the two sites.  Of cousrse, the VoIP devices must be on subnets that don't overlap with the data subnets.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • Thanks Bob.
    My phone equipment is still on main subnet at each location (it would be a pain to isolate them, but if necessary I can do that). In regards to IPSec traffic, I would give it secondary priority.
    Now, I created a new site-to-site SSL VPN. How can I ensure the voice traffic goes across SSL pipe, not the IPSec one?