Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 24 replies
  • Answers 1 answer
  • Subscribers 3 subscribers
  • Views 69055 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

QOS of Site-to-Site VPN Tunnels

rmanyc
Thanks for your help.

We have a backup application running from one site to another.   Both sides are connected via ASG 110 and ASG 120 IPSec site-to-site (s2s) VPN.   We have QOS running successfully for our normal traffic (i.e. http to web, smtp to web, etc.).  However, I am having difficulty applying QOS rules to the s2s VPN.   I am not sure how to structure them.  I have read that QOS is applied to outbound traffic, but apparently the traffic is encrypted prior to hitting the QOS.  How exactly should I go about configuring the box to apply QOS to all s2s traffic?   How would I do it for specific (i.e. Http) traffic inside the s2s tunnel.   Is there something I am missing?

Any help is appreciated!

Thanks.


This thread was automatically locked due to age.
Parents
  • 0
    Because you need to make sure the SSL tunnel doesn't create duplicatee copies of IPs on both sides, you really need to change the VoIP traffic to specific subnets.  I think that would be a lot less work and a lot clearer than creating lots of hosts, network groups and SNAT rules - ugly!

    Assume these subnets are named "VoIP1" and "VoIP2" and are created in both Astaros.  Assume also that the non-VoIP devices are in subnets "Data1" and "Data2" and also are in both Astaros.

    SSL

    Astaro-1: Local network = VoIP1 and Remote Network = VoIP2



    IPsec

    Astaro-1: Local network = Data1 and Remote Network = Data2


    Astaro-2: Local network = Data2 and Remote Network = Data1



    QoS then is done with a traffic selector.  You would create a guaranteed Bandwidth Pool on the External interface of each Astaro.  On Astaro-1, your traffic selector would be 'Any -> HTTPS -> {public IP of Astaro-2}'.  On Astaro-2, your traffic selector would be 'Any -> HTTPS -> {public IP of Astaro-1}'.

    If there already is HTTPS traffic between the two sites, then you might want to put the VoIP traffic through the IPsec tunnel and prefer IPsec traffic instead of HTTPS traffic.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Because you need to make sure the SSL tunnel doesn't create duplicatee copies of IPs on both sides, you really need to change the VoIP traffic to specific subnets.  I think that would be a lot less work and a lot clearer than creating lots of hosts, network groups and SNAT rules - ugly!

    Assume these subnets are named "VoIP1" and "VoIP2" and are created in both Astaros.  Assume also that the non-VoIP devices are in subnets "Data1" and "Data2" and also are in both Astaros.

    SSL

    Astaro-1: Local network = VoIP1 and Remote Network = VoIP2



    IPsec

    Astaro-1: Local network = Data1 and Remote Network = Data2


    Astaro-2: Local network = Data2 and Remote Network = Data1



    QoS then is done with a traffic selector.  You would create a guaranteed Bandwidth Pool on the External interface of each Astaro.  On Astaro-1, your traffic selector would be 'Any -> HTTPS -> {public IP of Astaro-2}'.  On Astaro-2, your traffic selector would be 'Any -> HTTPS -> {public IP of Astaro-1}'.

    If there already is HTTPS traffic between the two sites, then you might want to put the VoIP traffic through the IPsec tunnel and prefer IPsec traffic instead of HTTPS traffic.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Unfiltered HTML