QOS of Site-to-Site VPN Tunnels

Thanks for your help.

We have a backup application running from one site to another.   Both sides are connected via ASG 110 and ASG 120 IPSec site-to-site (s2s) VPN.   We have QOS running successfully for our normal traffic (i.e. http to web, smtp to web, etc.).  However, I am having difficulty applying QOS rules to the s2s VPN.   I am not sure how to structure them.  I have read that QOS is applied to outbound traffic, but apparently the traffic is encrypted prior to hitting the QOS.  How exactly should I go about configuring the box to apply QOS to all s2s traffic?   How would I do it for specific (i.e. Http) traffic inside the s2s tunnel.   Is there something I am missing?

Any help is appreciated!

Thanks.
  • I think it's time for a support ticket to Astaro.  There's a question we're not thinking to ask, so one of the support engineers needs to put some fresh eyes on the issue.  I think you could point them at your post above: https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/p/39632/135782#135782, and mention that you tried with "Any" instead of "External" but that voice is still scrambled when data traffic is high.

    A temporary band-aid would be to limit the IPsec traffic to 1000kb/sec.

    Cheers - Bob
  • Thanks Bob for your reply in "How to open up ports between subnets in Astaro Security Gateway?" I also think, that the voip server was not provided with DG address, but I don't configure it, and will get this cleared a bit later today.

    Regarding the QoS. As a last approach, I swapped my VPN channels with each other, as you suggested earlier. As I figured, there were two remote users utilizing SSL protocol... (didn't think about such possibility) So, my site-to-site data goes via SSL VPN now, and Phones use IPSec. I changed the QoS preference accordingly as well. Guess what? It has become way better than before, but still not 100% clear. Phone system still shows that 5-10% of packets are being lost, and people still complain about voice quality. So, it works exactly the way we configured it! These 5-10% are coming from the phone equipment, but that traffic is not voice, it is the information about phone statuses at each location (status like has new voice mail, busy, call forward on, etc). This information is displayed to the user by the application I mentioned in "How to open up ports" topic. This data packets have the same priority as the voice packets, and of course, the voice gets interrupted.

    So, all I have to do is to isolate the voice completely from the data. Please tell me if this will work or not:

    1. Put both phones and data back on the same subnet (Site1: 192.168.0.0/24, Site2: 192.168.1.0/24)

    2. Create two virtual VoIP networks (one for each site. Site1:192.168.100.0/24 Site2:192.168.101.0/24) by doing Full NAT:
    Site1:
    Traffic Source: 192.168.0.0/24, Service: VoIP Protocols, Destination: 192.168.1.0/24
    Tratslated Source: 192.168.100.0/24, Service: VoIP Protocols, Destination: 192.168.101.0/24
    Site2:
    Traffic Source: 192.168.1.0/24, Service: VoIP Protocols, Destination: 192.168.0.0/24
    Tratslated Source: 192.168.101.0/24, Service: VoIP Protocols, Destination: 192.168.100.0/24

    3. Keep VPN channels unchanged:
    SSL is for data, serving 192.168.0.0/24  192.168.1.0/24
    IPSec is for VoIP, serving 192.168.100.0/24  192.168.101.0/24

    4. Keep QoS settings unchanged with a preference to IPSec on External interfaces of each firewall.

    What do you think?
  • It's an interesting idea, but, unfortunately, there's no 1-to-1 NAT option with Astaro, so I don't think that will work.

    If you have devices with VLAN capability, then I think this would be the way to go unless you easily can change your wiring scheme to have the phones and PCs on physically-separate networks that get DHCP from different interfaces on your DHCP server.

    Cheers - Bob
  • In reply to BAlfson:

    Bob, my phones are not IP phones, they connected directly to the Control Unit of the phone system. I assume phones may talk TCP/IP but strictly within their subnet.
    When it comes to PC to Phone conversation, the actual conversation is between PC and the Control Unit which has information about any phone status. This is how we dial numbers from the PCs.
    So, computer network is isolated from the phone network, and all I have to do is to prefer this traffic:
    {192.168.100.0/24}  {VoIP Protocols}  {192.168.101.0/24}
    because communication other than VoIP (between these two phone networks) causes all kinds of quality problems.
    Is this possible to do with Astaro?
  • Wait a minute - Aren't the phones on the same physical ethernet network with the data network?  There are some phone systems, like the 3Com NBX, that communicate on Layer 2, but ones like Cisco use TCP/IP and have regular IP addresses.  AT&T and others made systems that could communicate via TCP/IP between PBXs even though the phones themselves were connected on their own non-Ethernet network.

    Apparently, there's some traffic that's not included in the VoIP services definition in your Astaro.  Adding the other port(s) should fix your problem, but that's a question for the phone system provider.

    What we've done should work once all of the right services are added to the VoIP group.  If not, then its time to get your reseller and/or Astaro Support involved to look at your configuration.

    Cheers - Bob
  • The phone system is Avaya IP Office 500, and the phones are connected by regular telephone cable with their Control Units (2 of them, one per site).
    Control Unit speaks to the PRI and another Control Unit at another location, these are all on the separate networks now. Obviously, PRIControlUnit1ControlUnit2 communication is TCP traffic on number of ports (I will figure out the port numbers shortly).
    Question. My traffic selectors target IPSec traffic across phone networks, not VoIP traffic, because we use IPSec VPN, and VoIP is "wrapped" as IPSec when it reaches the External Interface. I don't believe we have the ability to prioritize VoIP in this scenario? Why do we care about ports included in the Astaro "VoIP Protocols" group?
  • Question. My traffic selectors target IPSec traffic across phone networks, not VoIP traffic, because we use IPSec VPN, and VoIP is "wrapped" as IPSec when it reaches the External Interface. I don't believe we have the ability to prioritize VoIP in this scenario? Why do we care about ports included in the Astaro "VoIP Protocols" group?

    You're exactly right.  For some reason, I was thinking that packets were being dropped, but they're just being lost.

    The phone system is Avaya IP Office 500, and the phones are connected by regular telephone cable with their Control Units (2 of them, one per site).

    I glanced at the documentation on the Avaya site.  I get the impression that the Control Units are just specialized switches and that they and the phones are on the same TCP/IP network with the PCs.  Further, that the PCs and phones all get DHCP from the same server - that would make it difficult to assign IP addresses in separate spaces for data and VoIP.

    I still think you should talk to the phone supplier.  They will understand how to get all of the VoIP devices into subnets disjoint from the data devices.  They should know the right questions to ask to get the easy answers.

    Best of luck!

    Cheers - Bob
  • I have the same problem. can anyone help to resolve..