Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 24 replies
  • Answers 1 answer
  • Subscribers 3 subscribers
  • Views 69048 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

QOS of Site-to-Site VPN Tunnels

rmanyc
Thanks for your help.

We have a backup application running from one site to another.   Both sides are connected via ASG 110 and ASG 120 IPSec site-to-site (s2s) VPN.   We have QOS running successfully for our normal traffic (i.e. http to web, smtp to web, etc.).  However, I am having difficulty applying QOS rules to the s2s VPN.   I am not sure how to structure them.  I have read that QOS is applied to outbound traffic, but apparently the traffic is encrypted prior to hitting the QOS.  How exactly should I go about configuring the box to apply QOS to all s2s traffic?   How would I do it for specific (i.e. Http) traffic inside the s2s tunnel.   Is there something I am missing?

Any help is appreciated!

Thanks.


This thread was automatically locked due to age.
Parents
  • 0
    Thanks Bob for your reply in "How to open up ports between subnets in Astaro Security Gateway?" I also think, that the voip server was not provided with DG address, but I don't configure it, and will get this cleared a bit later today.

    Regarding the QoS. As a last approach, I swapped my VPN channels with each other, as you suggested earlier. As I figured, there were two remote users utilizing SSL protocol... (didn't think about such possibility) So, my site-to-site data goes via SSL VPN now, and Phones use IPSec. I changed the QoS preference accordingly as well. Guess what? It has become way better than before, but still not 100% clear. Phone system still shows that 5-10% of packets are being lost, and people still complain about voice quality. So, it works exactly the way we configured it! These 5-10% are coming from the phone equipment, but that traffic is not voice, it is the information about phone statuses at each location (status like has new voice mail, busy, call forward on, etc). This information is displayed to the user by the application I mentioned in "How to open up ports" topic. This data packets have the same priority as the voice packets, and of course, the voice gets interrupted.

    So, all I have to do is to isolate the voice completely from the data. Please tell me if this will work or not:

    1. Put both phones and data back on the same subnet (Site1: 192.168.0.0/24, Site2: 192.168.1.0/24)

    2. Create two virtual VoIP networks (one for each site. Site1:192.168.100.0/24 Site2:192.168.101.0/24) by doing Full NAT:
    Site1:
    Traffic Source: 192.168.0.0/24, Service: VoIP Protocols, Destination: 192.168.1.0/24
    Tratslated Source: 192.168.100.0/24, Service: VoIP Protocols, Destination: 192.168.101.0/24
    Site2:
    Traffic Source: 192.168.1.0/24, Service: VoIP Protocols, Destination: 192.168.0.0/24
    Tratslated Source: 192.168.101.0/24, Service: VoIP Protocols, Destination: 192.168.100.0/24

    3. Keep VPN channels unchanged:
    SSL is for data, serving 192.168.0.0/24  192.168.1.0/24
    IPSec is for VoIP, serving 192.168.100.0/24  192.168.101.0/24

    4. Keep QoS settings unchanged with a preference to IPSec on External interfaces of each firewall.

    What do you think?
Reply
  • 0
    Thanks Bob for your reply in "How to open up ports between subnets in Astaro Security Gateway?" I also think, that the voip server was not provided with DG address, but I don't configure it, and will get this cleared a bit later today.

    Regarding the QoS. As a last approach, I swapped my VPN channels with each other, as you suggested earlier. As I figured, there were two remote users utilizing SSL protocol... (didn't think about such possibility) So, my site-to-site data goes via SSL VPN now, and Phones use IPSec. I changed the QoS preference accordingly as well. Guess what? It has become way better than before, but still not 100% clear. Phone system still shows that 5-10% of packets are being lost, and people still complain about voice quality. So, it works exactly the way we configured it! These 5-10% are coming from the phone equipment, but that traffic is not voice, it is the information about phone statuses at each location (status like has new voice mail, busy, call forward on, etc). This information is displayed to the user by the application I mentioned in "How to open up ports" topic. This data packets have the same priority as the voice packets, and of course, the voice gets interrupted.

    So, all I have to do is to isolate the voice completely from the data. Please tell me if this will work or not:

    1. Put both phones and data back on the same subnet (Site1: 192.168.0.0/24, Site2: 192.168.1.0/24)

    2. Create two virtual VoIP networks (one for each site. Site1:192.168.100.0/24 Site2:192.168.101.0/24) by doing Full NAT:
    Site1:
    Traffic Source: 192.168.0.0/24, Service: VoIP Protocols, Destination: 192.168.1.0/24
    Tratslated Source: 192.168.100.0/24, Service: VoIP Protocols, Destination: 192.168.101.0/24
    Site2:
    Traffic Source: 192.168.1.0/24, Service: VoIP Protocols, Destination: 192.168.0.0/24
    Tratslated Source: 192.168.101.0/24, Service: VoIP Protocols, Destination: 192.168.100.0/24

    3. Keep VPN channels unchanged:
    SSL is for data, serving 192.168.0.0/24  192.168.1.0/24
    IPSec is for VoIP, serving 192.168.100.0/24  192.168.101.0/24

    4. Keep QoS settings unchanged with a preference to IPSec on External interfaces of each firewall.

    What do you think?
Children
No Data
Unfiltered HTML