Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 3588 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM-to-UTM using RED - QoS Settings

MM1985
Hello,

I am currently running some tests using a RED connection between two UTM appliances. So far this seems to be very stable and more easily maintainable than IPSec Site2Site. 
My current setup is that on my HeadQuarter appliance I have defined an interface on the redsN device for each branch I want to connect. On the branch office UTM appliance, I have bridged the redsN device to the internal.

On my HQ UTM I can no enable QoS on the RED interface and configure it to reserve a certain amount of bandwidth for the individual protocols. The RED interface on the HQ UTM does have the bandwidth of my external WAN link set in the interface definition. From HQ to branch, the QoS is working fine.

On the other direction, from branch to HQ, I would need to activate QoS on the internal interface. This seems to cause the bandwidth reservations not to work correctly, since my internal interface is usually defined as 1Gbit, whereas the actual bandwidth of the WAN connection the RED uses is much lower. 

Is it possible to configure the RED connection in a way that I have a RED interface defined on both appliances headquarter and branch office?

Thanks.
best regards
Martin


This thread was automatically locked due to age.
  • 0
    Unless you have a specific need to connect via RED, you should use IPsec.  The UTM can do QoS inside an IPsec tunnel.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob,

    From what I read on the net and on the forum, it seemed to me that IPsec and QoS is rather complicated to set up. Meaning the clients, that should have the traffic with guaranteed bandwidth, needing to be able to set this dscp bit. 
    Thinking about it now...if I would like to have all traffic from my branch office to the headquarters and the other way round get a certain amount of bandwidth, I could simply guarantee some for IPsec traffic on the external interface of each box. Meaning that I would not be able to guarantee bandwidth for individual protocols, right?

    Just a more general thing: why is RED not the way to go from your point or view?

    Thanks.
    Best regards
    Martin
  • 0
    Apparently, beginning with V9, DSCP/TOS bits are no longer needed for QoS in IPsec tunnels.  Just select 'Keep classification after encapsulation' on the 'Advanced' tab.

    RED has its place, but IPsec is the right choice for QoS between UTMs.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    thanks for your reply. I will check that out as soon as possible.

    best regards
    Martin
  • 0
    Hi Bob

    I need to get back to you about the usage of RED as a site2site replacement. In this thread you were pointing me to the RED connections between UTMs to replace an existing MPLS connection. 
    I do not understand why replacing MPLS lines in general is a situation for a RED connection, whereas as soon as I add QoS it is no longer the path to choose.

    Please don't get me wrong..I don't want to play your posts against you, but I would just like to understand the thoughts behind. You probably have knowledge from your obviously wide experience that leads to your recommendations...

    Thanks very much for sheding some light on this!
    best regards
    Martin
  • 0
    Hi Martin,

    Thanks for insisting.  In fact, I'm fresh off a small QoS project that included RED devices, and that took some fancy footwork to accomplish.  I was remembering that and another recent QoS project that was simplified by 'Keep classification after encapsulation' in V9.

    If you have a RED tunnel between two UTMs, you should be able to do the QoS you want.

    It's hard to tell you what you will need to do, but one "trick" you will need is you also will want to add a Bandwidth Pool on the External interface at the main office to guarantee uplink bandwidth for TCP/UDP 3400 (the RED service) to the branch.  The External interface in the branch will need one also if some traffic goes directly to the internet instead of through the RED tunnel.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML