FW-Bandbreitenbegrenzung - Anfängerproblem

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

FW-Bandbreitenbegrenzung - Anfängerproblem

Beitrag von stefanbunzel »

Hallo liebes Lancom-Forum,

es ist mir ja echt absolut peinlich, aber ich stehe nach längerer Zeit mal wieder vollkommen auf dem Schlauch und bekomme folgendes Anfänger-Problem nicht gelöst: Bandbreitenbegrenzung in Firewall (IPv4) für eine Station.

LCOS 10.20.0175Rel, 3 x WAN-Gegenstellen (Tag 0 und 2), 1 x Backup-Automatik für Default-Gegenstelle (Tag 0)
2 Firewall-Regeln: für UL- sowie DL-Bandbreite

1. UL-Begrenzung:
- Aktiv, Tag 0, hält Verbindungszustände nach
- hohe Prio, so dass keine weiteren Regeln "stören"
- Aktion: für Default-Route, für gesendete Pakete (physikalische Richtung), 512 kbit/s, Global (weil mehrere Stationen folgen sollen), Verwerfen, Syslog, SNMP
- von Station IP an alle
-> Ergebnis: klappt zuverlässig

2. DL-Begrenzung (analog oben):
- Aktiv, Tag 0, hält Verbindungszustände nach
- hohe Prio, so dass keine weiteren Regeln "stören" (vor UL-Begrenzung)
- Aktion: für Default-Route, für empfangene Pakete (physikalische Richtung), 6144 kbit/s, Global, Verwerfen, Syslog, SNMP
- von Station alle an IP
-> Ergebnis: geht nicht, kein Syslog, kein SNMP, voller Speed - die Regel greift einfach nicht

So langsam bin ich am Verzweifeln! Solche Regeln hatte ich früher täglich eingerichtet und es lief immer.

Was mache ich falsch? Wo ist mein Denkfehler? Oder ist im LCOS 10.20.0175 ein Bug?

Ich würde mich freuen, wenn mir jemand helfen könnte.
Danke
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: FW-Bandbreitenbegrenzung - Anfängerproblem

Beitrag von GrandDixence »

Damit QoS im LANCOM-Router greift, müssen sich die über den WAN-Port zu versendenden Datenpakete im LANCOM-Router in der Sendewarteschlange stauen. Bei über den WAN-Port empfangene Datenpaket greift das QoS nicht. Die Beeinflussung des TCP Window für QoS in Empfangsrichtung (WAN -> LAN) funktioniert mehr schlecht als recht...
https://en.wikipedia.org/wiki/TCP_tuning

Wirkungsvoll ist auch die Bandbreitenbegrenzung mittels DROP im Downstream.
Zuletzt geändert von GrandDixence am 28 Jun 2020, 18:24, insgesamt 2-mal geändert.
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Re: FW-Bandbreitenbegrenzung - Anfängerproblem

Beitrag von stefanbunzel »

Hallo GrandDixence,

vielen Dank für deine Antwort. Allerdings geht es eigentlich nicht um QoS (Bandbreiten-Reservierung), sondern um tatsächliche Bandbreiten-Begrenzung. Das lief in der Vergangenheit immer super im LCOS. Regel erstellt - Verbindung getrennt - Up- / Download für Test gestartet (Speedtest) - max. Durchsatz wurde relativ zuverlässig eingepegelt - Anwendung der Regeln im LANmonitor verfolgbar.

Weitere Lösungsvorschläge?
Ach ja, es handelt sich um einen 1781EF+, wobei das eigentlich nebensächlich sein sollte...

Viele Grüße
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: FW-Bandbreitenbegrenzung - Anfängerproblem

Beitrag von Dr.Einstein »

Hi Stefan,

hast du testweise die DL Regel mal ein wenig umgebogen? z.B: von physikalisch auf logisch, Quelle / Ziel mal gedreht. Ich weiß, beides unlogisch, aber vielleicht lässt sich der (LCOS?)Fehler eingrenzen. Downloadbegrenzer hatte ich nur mit der 10.12, leider nie mit 10.20 getestet.

Gruß Doc
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Re: FW-Bandbreitenbegrenzung - Anfängerproblem

Beitrag von stefanbunzel »

Hallo Dr.Einstein,

habe ich ja auch schon alles kreuz und quer getestet. Ich sag ja, dass ich solche Regeln früher als WLAN-ISP massenhaft eingesetzt habe. Deshalb bin ich ja so entsetzt, dass ich es aktuell gar nicht gebacken bekomme.

Eben auch noch einmal mit LCOS 10.12.0378RU7 getestet. Inzwischen auch zus. Kaltstart des Routers durchgeführt. Außerdem auch mit Video-Stream an Stelle Speedtest getestet. Es greift immer nur die UL-Regel (wird im LANmonitor sowie im WebInterface unter Status/IP-Router so angezeigt).

Allerdings hatte ich das Gefühl, dass jetzt die Regel nicht wirklich greift. Beim durchgeführten Speedtest zeigt mir mein per WLAN an einem AP angebundenem iPhone, dass der Upload erst mit den gewünschten rd. 512 kbit/s läuft, steigert sich dann aber langsam bis zum Maximum von rd. 1200 kbit/s meines Anschlusses, was ja nicht korrekt wäre (siehe Bild).

Bild

Ich bin ja schon kurz davor, den Router komplett zurück zu setzen - aber das ist dann so viel Arbeit...

Ich wollte ja nur wissen, ob ich der Einzige bin, bei dem es dieses Problem gibt?

Viele Grüße,
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: FW-Bandbreitenbegrenzung - Anfängerproblem

Beitrag von Dr.Einstein »

Hi Stefan,

komisch, also ich hab gerade fix für dich geprüft, da ich eh gerade einen Firewall-Testaufbau bei mir habe.

Code: Alles auswählen

cd /Setup/IP-Router/Firewall/Rules
tab Name Prot. Source Destination Action Linked Prio Firewall-Rule VPN-Rule Stateful Src-Tag Rtg-tag Comment
add "DROP-DOWNLOAD" "ANY" "%L" "ANYHOST" "%Lurwds10000 %D" No 0 Yes No Yes 0 0 ""
cd /
Aufgrund meines Aufbaus habe ich allerdings keine Default Route mit Rtg Tag 0 aufs Internet, darum auch kein DROP Filter auf Default Route. Bei mir greift die Downloadregel von 10M an einem 100M Anschluss.

Getestet mit 10.12RU10

Gruß Dr.Einstein
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Re: FW-Bandbreitenbegrenzung - Anfängerproblem

Beitrag von stefanbunzel »

Hallo Dr.Einstein,

vielen Dank. Demnach muss es wohl doch an meiner Konfig liegen. Ich hatte gestern auch noch eine Ewigkeit getestet - ohne Erfolg.
In diesem Netz nutze ich auch VLANs. Vielleicht liegt es daran? Allerdings beginnen die VLANs ja erst in diesem Router und ich habe die Regeln ja an die IP geknüpft.
Mich nervt es einfach nur!
Andererseits benötige ich dort jetzt unbedingt diese Bandbreiten-Begrenzung in Abhängigkeit der IP.
Ich werde in den nächsten Tagen mal weiter testen und auch mal Tracen. Ich hoffe, dass ich da dann Hinweise finde.

Vielen Dank, dass ich jetzt erst einmal einen grundsätzlichen LCOS-Bug ausschließen kann.

Viele Grüße
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: FW-Bandbreitenbegrenzung - Anfängerproblem

Beitrag von Dr.Einstein »

Vielleicht noch zu den Randbedingungen meines Tests:

VLANs im Einsatz
diverse ARFs im Einsatz
Diverse Default-Routing Einträge im Einsatz (in Abhängigkeit vom ARF)

Hast du nur eine Default Route mit Tag 0, oder geht vielleicht für dieses VLAN das Internet über Default Route ungleich 0? Ich würde testweise mal den Filter "nur bei Default Route" rauslassen in der Aktion.

Gruß Dr.Einstein
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: FW-Bandbreitenbegrenzung - Anfängerproblem

Beitrag von backslash »

Hi stefanbunzel,
Demnach muss es wohl doch an meiner Konfig liegen
definitiv, zumindest wenn du es so gemacht hast, wie im ersten Posting beschrieben, d.h. wenn du wirklich zwei Regeln genacht hast... Denn die zweite Regel greift nie, weil ja alle Pakete schon von der ersten abgegriffen werden.... Du mußt beide Begrenzungen in *EINER* Regel verwenden, d.h.

- Aktiv, Tag 0, hält Verbindungszustände nach
- hohe Prio, so dass keine weiteren Regeln "stören"
- Aktion: für Default-Route, für gesendete Pakete (physikalische Richtung), 512 kbit/s, Global (weil mehrere Stationen folgen sollen), Verwerfen, Syslog, SNMP
- Aktion: für Default-Route, für empfangene Pakete (physikalische Richtung), 6144 kbit/s, Global, Verwerfen, Syslog, SNMP

Der Grund dafür ist, daß du ja alle Sessions (Up- und Download) von innen her antriggerst du somit was die Regelauswahl angeht das gleiche machst...

Gruß
Backslash
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Re: FW-Bandbreitenbegrenzung - Anfängerproblem

Beitrag von stefanbunzel »

Hallo Dr.Einstein,

mit und ohne Default-Route getestet.

... Noch eine Anmerkung zu meinem beobachteten Problem des gemessenen hohen Uploads von rd. 1000 kbit/s trotz angezeigter Bandbreitenbegrenzung auf 512 kbit/s:

Mein "toller" WLAN-ISP (übrigends der Käufer meines früheren Unternehmens... ) hatte wohl recht viel Ärger mit Speed-Beschwerden von seinen Kunden und trickst bei der zugewiesenen Bandbreite der Kunden. Ich habe zum Beispiel einen Tarif WLAN-DSL-16.000 mit DL=16.000 kbit/s und UL=1.024 kbit/s, was ich auch so als QoS der Gegenstelle eingetragen habe. Starte ich einen Upload ins Internet (egal welches Protokoll), dann läuft dieser die ersten 60 Sekunden (!) mit 2.048 kbit/s und wird dann (inkl. kurzer Trennung der IP-Verbindung!) für die Folgezeit auf die gebuchte Bandbreite von 1.024 kbit/s beschränkt. Das ist für ihn natürlich super praktisch für durchgeführte Speed-Tests der Kunden, da dieser i.d.R. nich tlänger als 1 Minute läuft und dabei i.d.R. auch mind. die gebuchte Bandbreite erreicht wird.
Aber offensichtlich hat das LCOS mit diesem Spielchen ein Problem? Backslash hatte ja neulich die Arbeitsweise der Bandbreitenermittlung im LCOS erläutert, dass diese letztendlich immer prozentual der verfügbaren Bandbreite erfolgt (wenn ich das richtig verstanden hatte?).

Wenn ich die PPPoE-Gegenstelle also im QoS-UL mit 1.024 kbit/s definiere und ein tatsächlicher Upload aber mit 2.048 kbit/s startet, dann scheint das LCOS meine gewünschten 512 kbit/s als 50% vom UL zu berechnen. Jetzt startet der UL aber mit 2.048 kbit/s und das LCOS beschränkt diesen auf 50% = 1.024 kbit/s. Dummerweise habe ich aber nach 60 Sekunden nur noch eine UL-Bandbreite von 1.024 kbit/s - und somit "verstopft" mir der UL den DSL-Anschluss zu 100%. Ist meine Theorie nachvolziehbar und korrekt?

Viele Grüße,
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Re: FW-Bandbreitenbegrenzung - Anfängerproblem

Beitrag von stefanbunzel »

Hallo Backslash,

vielen Dank für deine Rückmeldung. Okay, dann teste ich das heute Abend in einer Regel.

Was sagst du zu meiner Theorie bzgl. der falschen Bandbreitenbegrenzung? Könnte das so stimmen?

Viele Grüße
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: FW-Bandbreitenbegrenzung - Anfängerproblem

Beitrag von backslash »

Hi stefanbunzel,

das mit der prozentualen Auslastung bezog sich auf die Auswahl der Loadbalancer-Kanäle... Abgesehen davon: Wenn du im DSL-Interface als Upstreamrate 1024 kBit/s eingetragen hast, dann bergrenzt das LANCOM den Upstream hart auf 1024 kBit/s, egal, was dein Provider zulassen würde. Nur der Downstream bleibt unberührt solange du keine Mindestbandbreiten anforderst. Sobald du das tust begrenzt das LANCOM den Downstream hart auf den konfigurierten Wert abzüglich der angeforderten Mindestbandbreiten

Gruß
Backslash
Benutzeravatar
stefanbunzel
Beiträge: 1404
Registriert: 03 Feb 2006, 13:30
Wohnort: endlich VDSL-250

Re: FW-Bandbreitenbegrenzung - Anfängerproblem [gelöst]

Beitrag von stefanbunzel »

Hallo Backslash,

vielen Dank, jetzt läuft es, wie gewollt. Mit viel kleineren Datenraten (256/128) liefen die Tests eindeutig und DL sowie UL wurden exakt beschränkt.
Ich habe solche Einstellungen eben schon viel zu lange nicht mehr gemacht...
Allerdings ist die Bezeichnung in LANconfig im Reiter "Station" für "Verbindungs-Quelle" -> "Diese Regel gilt für Pakete auf Verbindungen von folgenden Stationen..." leicht irreführend. Deine Erläuterung, mit Bezug auf "von innen her antriggerst" bzw. eben "Auslöser" der Verbindung, wäre in LANconfig dann eindeutiger.
Vielleicht könntet ihr den Beschreibungs-Text in LANconfig mal anpassen. Zum Beispiel: "Diese Regel gilt für Pakete auf Verbindungen ausgelöst von folgenden Stationen" - oder so ähnlich. Oder ich merke mir es bis zum nächsten Mal. Oder frage hier wieder...

Vielen Dank
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: FW-Bandbreitenbegrenzung - Anfängerproblem

Beitrag von backslash »

Hi stefanbunzel,

nun ja, was soll ich noch dazu sagen.... Die Firewall ist eine Stateful-Inspection-Firewall, d.h. sie hält Sessions nach - und Sessions sind natürlich bidirektinal, werden aber von der Quelle ausgelöst, die das erste Paket ans Ziel schickt... und genau darauf beziehen sich die Angaben in der Hilfe... Das mag man jetzt mißverständlich nennen, aber eigentlich impliziert "stateful inspection", daß es hier nicht um simple Paketfilter geht...

Gruß
Backslash
Antworten