hallo,
setup:
lancom 1711, 2 x dsl Leitung gebuendelt, fuer bestimmte lan ip-adress-bereich max_bandwith Filter 25%
problem:
bei torrent ist der Filter wirkungslos und es wird trotzdem die komplette Kapazität beider Leitungen belegt
zusatz:
kann man eigentlich mit den lancoms halbwegs einfach torrents, steam etc. komplett sperren - Kindersicherung gegen solchen Unfug :)
kann mir jemand helfen?
nette gruesse
tom
max bandwidth - bittorrent etc.
Moderator: Lancom-Systems Moderatoren
Hi tom63
Wie hast du den Filter definiert? Korrekt wäre:
Wenn dabei aber 4 (oder mehr) Stationen den Bittorrent anwerfen, dann ist die Leitung auch wieder voll. Du könntest den Trigger auch global setzen - denn teilen sich alle PCs in der Adreßliste eben diese 25% der Bandbreite
Gruß
Backslash
hast du denn unter Schnittsllen -> WAN -> Interface-Einstellungen auch die korrekten Up- und Downstreamraten eingestellt? Wenn nicht, ist klar warum das nicht funktioniert...ancom 1711, 2 x dsl Leitung gebuendelt, fuer bestimmte lan ip-adress-bereich max_bandwith Filter 25%
problem:
bei torrent ist der Filter wirkungslos und es wird trotzdem die komplette Kapazität beider Leitungen belegt
Wie hast du den Filter definiert? Korrekt wäre:
Code: Alles auswählen
Aktion: Trigger: 25 %Bandbreite, pro Station
Paket-Aktion: verwerfen
Quelle: IP-Adressen der zu beschränkenden Rechner
Ziel: alle Stationen
Dienste: alle Dienste oder beschränkt auf bestimmte Zielports
nein, weil das alles Protokolle sind, die sich dynamisch irgendwelche Ports suchen... Das ginge nur mit einer Deep-Packet-Inspection (wie z.B. Snort) - doch dafür sind die LANCOMs doch ein bischen zu schwachbrüstig...zusatz:
kann man eigentlich mit den lancoms halbwegs einfach torrents, steam etc. komplett sperren - Kindersicherung gegen solchen Unfug
Gruß
Backslash
hallo backslash,
vielen dank für die schnelle und ausführliche Antwort :)
ich denke dass die max_bandwith Einstellung richtig sein müsste da es ja bei normalen downloads einwandfrei klappt und auch bei mehreren downloads (3oder 4 gleichzeitig ausprobiert) - nur eben bei diesem torrent zeug - das frisst sich irgendwie total rein???
was denkst du - koennte man das torrent auch nich blockieren in dem man mit denyall fuer den lan-ip-bereich alles verbietet und dann nur die ports fuer surfen und mail oeffnet?
hier noch kurz die einstellungen:
2.4 = LANCOM 1711 VPN
2.5 = 8.50.0142 / 13.07.2011
(1.2.8.10.2.2.1) = MAX_BANDWITH
(1.2.8.10.2.2.2) = ANY
(1.2.8.10.2.2.3) = %A192.168.143.20-192.168.143.29
(1.2.8.10.2.2.4) = ANYHOST
(1.2.8.10.2.2.7) = %Lgb25 @i %D
(1.2.8.10.2.2.8) = 0
(1.2.8.10.2.2.9) = 0
(1.2.8.10.2.2.10) = 0
(1.2.8.10.2.2.11) = 0
(1.2.8.10.2.2.12) = 0
(1.2.8.10.2.2.14) = 0
(1.2.8.10.2.2.13) =
<1.2.23.4>
(1.2.23.4.1.1) = 1
(1.2.23.4.1.2) = 16
(1.2.23.4.1.16) = 224
(1.2.23.4.1.17) = 0
(1.2.23.4.1.18) = 1728
(1.2.23.4.1.15) = 8
<1.2.23.4>
(1.2.23.4.2.1) = 2
(1.2.23.4.2.2) = 16
(1.2.23.4.2.16) = 224
(1.2.23.4.2.17) = 0
(1.2.23.4.2.18) = 1728
(1.2.23.4.2.15) = 8
wenn ich diese regel aktiv schalte ist leider fuer alle anderen das internet super zaeh und leggd irgendwie?
(1.2.8.10.2.7.1) = MIN_BANDWITH
(1.2.8.10.2.7.2) = ANY
(1.2.8.10.2.7.3) = %A192.168.144.0 %M255.255.255.0
(1.2.8.10.2.7.4) = ANYHOST
(1.2.8.10.2.7.7) = ACCEPT_BANDWITH %Qgb75 @i
(1.2.8.10.2.7.8) = 0
(1.2.8.10.2.7.9) = 0
(1.2.8.10.2.7.10) = 1
(1.2.8.10.2.7.11) = 0
(1.2.8.10.2.7.12) = 0
(1.2.8.10.2.7.14) = 0
(1.2.8.10.2.7.13) =
nette gruesse
tom
vielen dank für die schnelle und ausführliche Antwort :)
ich denke dass die max_bandwith Einstellung richtig sein müsste da es ja bei normalen downloads einwandfrei klappt und auch bei mehreren downloads (3oder 4 gleichzeitig ausprobiert) - nur eben bei diesem torrent zeug - das frisst sich irgendwie total rein???
was denkst du - koennte man das torrent auch nich blockieren in dem man mit denyall fuer den lan-ip-bereich alles verbietet und dann nur die ports fuer surfen und mail oeffnet?
hier noch kurz die einstellungen:
2.4 = LANCOM 1711 VPN
2.5 = 8.50.0142 / 13.07.2011
(1.2.8.10.2.2.1) = MAX_BANDWITH
(1.2.8.10.2.2.2) = ANY
(1.2.8.10.2.2.3) = %A192.168.143.20-192.168.143.29
(1.2.8.10.2.2.4) = ANYHOST
(1.2.8.10.2.2.7) = %Lgb25 @i %D
(1.2.8.10.2.2.8) = 0
(1.2.8.10.2.2.9) = 0
(1.2.8.10.2.2.10) = 0
(1.2.8.10.2.2.11) = 0
(1.2.8.10.2.2.12) = 0
(1.2.8.10.2.2.14) = 0
(1.2.8.10.2.2.13) =
<1.2.23.4>
(1.2.23.4.1.1) = 1
(1.2.23.4.1.2) = 16
(1.2.23.4.1.16) = 224
(1.2.23.4.1.17) = 0
(1.2.23.4.1.18) = 1728
(1.2.23.4.1.15) = 8
<1.2.23.4>
(1.2.23.4.2.1) = 2
(1.2.23.4.2.2) = 16
(1.2.23.4.2.16) = 224
(1.2.23.4.2.17) = 0
(1.2.23.4.2.18) = 1728
(1.2.23.4.2.15) = 8
wenn ich diese regel aktiv schalte ist leider fuer alle anderen das internet super zaeh und leggd irgendwie?
(1.2.8.10.2.7.1) = MIN_BANDWITH
(1.2.8.10.2.7.2) = ANY
(1.2.8.10.2.7.3) = %A192.168.144.0 %M255.255.255.0
(1.2.8.10.2.7.4) = ANYHOST
(1.2.8.10.2.7.7) = ACCEPT_BANDWITH %Qgb75 @i
(1.2.8.10.2.7.8) = 0
(1.2.8.10.2.7.9) = 0
(1.2.8.10.2.7.10) = 1
(1.2.8.10.2.7.11) = 0
(1.2.8.10.2.7.12) = 0
(1.2.8.10.2.7.14) = 0
(1.2.8.10.2.7.13) =
nette gruesse
tom
Hi tom63
dann würde Bittorrent halt über den Port 80 laufen...
Gruß
Backslash
was denkst du - koennte man das torrent auch nich blockieren in dem man mit denyall fuer den lan-ip-bereich alles verbietet und dann nur die ports fuer surfen und mail oeffnet?
dann würde Bittorrent halt über den Port 80 laufen...
Die Regel MAX_BANDWITH sieht eigentlich OK aus - damit müßte es funktionieren, da du ja die Bandbreiten auf den DSL-Interfaces definiert hast. Das gilt natürlich nur solange das Bittorrent auch über TCP läuft, denn nur TCP kann "nachträglich" (also nachdem es schon über die Leitung lief) ausgebremst werden. Wenn Bittorrent UDP nutzt, dann ist eine Begrenzung nur beim Provider möglich. Durch deine oben genannten Deny- und Accept-Regeln würde dem Bittorrent aber genau der Weg über UDP versperrt...hier noch kurz die einstellungen:
2.4 = LANCOM 1711 VPN
2.5 = 8.50.0142 / 13.07.2011
(1.2.8.10.2.2.1) = MAX_BANDWITH
(1.2.8.10.2.2.2) = ANY
(1.2.8.10.2.2.3) = %A192.168.143.20-192.168.143.29
(1.2.8.10.2.2.4) = ANYHOST
(1.2.8.10.2.2.7) = %Lgb25 @i %D
(1.2.8.10.2.2.= 0
(1.2.8.10.2.2.9) = 0
(1.2.8.10.2.2.10) = 0
(1.2.8.10.2.2.11) = 0
(1.2.8.10.2.2.12) = 0
(1.2.8.10.2.2.14) = 0
(1.2.8.10.2.2.13) =
<1.2.23.4>
(1.2.23.4.1.1) = 1
(1.2.23.4.1.2) = 16
(1.2.23.4.1.16) = 224
(1.2.23.4.1.17) = 0
(1.2.23.4.1.18) = 1728
(1.2.23.4.1.15) = 8
<1.2.23.4>
(1.2.23.4.2.1) = 2
(1.2.23.4.2.2) = 16
(1.2.23.4.2.16) = 224
(1.2.23.4.2.17) = 0
(1.2.23.4.2.18) = 1728
(1.2.23.4.2.15) = 8
Bei der Regel MIN_BANDWITH stellt sich natürlich die Frage, wie das Objekt "ACCEPT_BANDWITH" definiert ist, denn nur dann kann deren Wirkung beurteilt werden...wenn ich diese regel aktiv schalte ist leider fuer alle anderen das internet super zaeh und leggd irgendwie?
(1.2.8.10.2.7.1) = MIN_BANDWITH
(1.2.8.10.2.7.2) = ANY
(1.2.8.10.2.7.3) = %A192.168.144.0 %M255.255.255.0
(1.2.8.10.2.7.4) = ANYHOST
(1.2.8.10.2.7.7) = ACCEPT_BANDWITH %Qgb75 @i
(1.2.8.10.2.7.
(1.2.8.10.2.7.9) = 0
(1.2.8.10.2.7.10) = 1
(1.2.8.10.2.7.11) = 0
(1.2.8.10.2.7.12) = 0
(1.2.8.10.2.7.14) = 0
(1.2.8.10.2.7.13) =
Gruß
Backslash
hallo backslash,
ich war fuer drei tage verreist - deshalb die spaete antwort.
vielen dank fuer deine hilfe.
wenn ich dich richtig verstehe wirken also alle bandbreiten filter die ich auf dem lancom setzten kann - also eingeschraenkte oder reservierte bandbreite nur fuer tcp - sobald udp genutzt wird sind sie wirkungslos?
accept_bandwith ist so eingestellt - und gibt leider fuer alle anderen nutzer ein superzaehes surfgefuehl auch wenn beide leitungen komplett ungenutzt sind:
(1.2.8.10.4.6.1) = ACCEPT_BANDWITH
(1.2.8.10.4.6.2) = %Lcds0 @i %A
und als letzte frage noch:
wenn ich also udp (oder gibt es noch weitere die man sperren muesste) fuer bestimmte lan-ip-adressen sperren wuerde mit welchen einschraenkungen/programmen haette diese gruppe dann zu rechnen?
nochmal nette gruesse
tom63
ich war fuer drei tage verreist - deshalb die spaete antwort.
vielen dank fuer deine hilfe.
wenn ich dich richtig verstehe wirken also alle bandbreiten filter die ich auf dem lancom setzten kann - also eingeschraenkte oder reservierte bandbreite nur fuer tcp - sobald udp genutzt wird sind sie wirkungslos?
accept_bandwith ist so eingestellt - und gibt leider fuer alle anderen nutzer ein superzaehes surfgefuehl auch wenn beide leitungen komplett ungenutzt sind:
(1.2.8.10.4.6.1) = ACCEPT_BANDWITH
(1.2.8.10.4.6.2) = %Lcds0 @i %A
und als letzte frage noch:
wenn ich also udp (oder gibt es noch weitere die man sperren muesste) fuer bestimmte lan-ip-adressen sperren wuerde mit welchen einschraenkungen/programmen haette diese gruppe dann zu rechnen?
nochmal nette gruesse
tom63
Hi tom63
Beim TCP greift die Begrenzung zwar auch erst nach dem Empfang, aber TCP ist darauf ausgelegt und senkt seine Senderate, wenn sich die Bestätigungen verzögern. Dadurch ist es möglich TCP-Streams auch von der Empfängerseite her ind ihrer Bandbreite zu begrenzen...
Gruß
Backslash
nein... sie wirken auch für UDP. Das Problem ist, daß die erst nach dem Empfang vom WAN greifen, d.h. ein die Strecke "flutender" Server wird zunächst einmal nicht gebremst - es wird nur die Weiterleitung der Pakete ins LAN gebremst und irgendwann einmal werden vom WAN empfangene Pakete knallhart verworfen...wenn ich dich richtig verstehe wirken also alle bandbreiten filter die ich auf dem lancom setzten kann - also eingeschraenkte oder reservierte bandbreite nur fuer tcp - sobald udp genutzt wird sind sie wirkungslos?
Beim TCP greift die Begrenzung zwar auch erst nach dem Empfang, aber TCP ist darauf ausgelegt und senkt seine Senderate, wenn sich die Bestätigungen verzögern. Dadurch ist es möglich TCP-Streams auch von der Empfängerseite her ind ihrer Bandbreite zu begrenzen...
wenn du UDP global sperrst, dann würgst du auch DNS-Abfragen ab - die mußt du in jedem Fall erlauben:wenn ich also udp (oder gibt es noch weitere die man sperren muesste) fuer bestimmte lan-ip-adressen sperren wuerde mit welchen einschraenkungen/programmen haette diese gruppe dann zu rechnen?
Code: Alles auswählen
Name: Allow-DNS
Aktion: übertragen
Quelle: alle Stationen im lokalen Netz
Ziel: IP des LANCOMs
Dienste: UDP, Zielport 53
Name: Deny-UDP
Aktion: verwerfen
Quelle: alle Stationen
Ziel: alle Sationen
Dienste: UDP
Backslash