Hallo,
kann mir jemand ein Beispiel für die Einrichtung einer Mindestbandbreite für eine VPN Einwahl geben, insbesondere die Betrachtung von Zeil und Quelle?
Wir haben dafür ein LC_1724 sowie den VPN Advance Client. Am aktuellen Standort des LC_1724 ist ein Arcor Anschluss 2000/384. Der VPN Client wird überwiegend von einem Kabelanschluss mit 2300/256 betrieben.
Ich möchte erreichen das ca. 3/4 der maximal möglichen Bandbreite für die VPN Verbindung zur Verfügung steht, ggf. auch gleich mit Reduzierung der PMTU auf 256.
Wie ist das im LC_1724 einzustellen, was ist in diesem Fall Quelle und was ist Ziel?
Gruß Michael
Mindestbandbreite für VPN Advance Client Einwahl
Moderator: Lancom-Systems Moderatoren
Hi MichaelF
wenn sich der Client auf dem 1724 einwählt, dann siehr die Firewall nur den Traffic, der ducrh den Tunnel geht, d.h. du erstellst die Regeln so, als wäre da kein VPN zwischen.
Quelle und Ziel richten sich immer danach, wer eine TCP/IP-Session eröffnet - wenn du z.B. ein ping an www.lancom-forum.de absetzt, dann bist du die Quelle und 88.198.177.34 ist das Ziel.
Bei einer Einwahl über den VPN-Client, kann man i.A. davon ausgehen, daß alle Verbindungen vom Client aus initiiert werden, also ist der Client die Quelle und das LAN das Ziel
Damit ergibt sich als Regel:
Gruß
Backslash
wenn sich der Client auf dem 1724 einwählt, dann siehr die Firewall nur den Traffic, der ducrh den Tunnel geht, d.h. du erstellst die Regeln so, als wäre da kein VPN zwischen.
Quelle und Ziel richten sich immer danach, wer eine TCP/IP-Session eröffnet - wenn du z.B. ein ping an www.lancom-forum.de absetzt, dann bist du die Quelle und 88.198.177.34 ist das Ziel.
Bei einer Einwahl über den VPN-Client, kann man i.A. davon ausgehen, daß alle Verbindungen vom Client aus initiiert werden, also ist der Client die Quelle und das LAN das Ziel
Du weist, daß sich eine PMTU-Reduzierung *nicht* auf die Verbindung auswirkt, die sie anfordert, sondern auf *alle* anderen. Hinzu kommt, daß es Server gibt, die eine PMTU-Reduzuierung auf 512 Bytes nicht mitmachen. Du solltest die PMTU maximal auf 576 Bytes reduzieren (siehe RFC 1191, RFC 2923), damit du keine Problem im Internet bekommmstIch möchte erreichen das ca. 3/4 der maximal möglichen Bandbreite für die VPN Verbindung zur Verfügung steht, ggf. auch gleich mit Reduzierung der PMTU auf 256.
Damit ergibt sich als Regel:
Code: Alles auswählen
Quelle: Gegenstelle VPN-Client
Ziel: alle Stationen im lokalen Netz
Aktion: sofort übertragen
QoS: Mindestbandbreite 1500 kBit/s, global, für empfangene Pakete
Mindestbandbreite 288 kBit/s, global, für gesendete Pakete
PMTU-Reduzierung 576Gruß
Backslash
Hallo \
Danke für Deine Antwort.
Ich habe mit folgendem Hintergrund eine Regel gebaut, sehe aber im Lanmonitor keine TX Reservierung.
Hintergrund:
1.) Der VPN Client lässt vom Notebook ins VPN nur 10.10.0.0/255.255.0.0 Netze, das ist unser eigenes Netz, sowie per VPN vom 1724 erreichbare Netze.
2.) Das Büro mit dem 1724 hat einen maximalen Upstream von 384 (415 lt. Modem), der Kabelanschluss, an dem das Notebook hängt, einen maximalen Upstream von 256 (???).
3.) Die PMTU soll alle anderen Verbindungen geschmeidig machen, so das das Notebook flüssig läuft.
4.) Wir haben auf dem 1724 die 6.32 laufen.
Alle Regeln:
WINS TCP,UDP %S137-139 ANYHOST ANYHOST %Lcds0 @i %R nein 0 ja nein ja 0 block NetBIOS/WINS name resolution via DNS
PRIO-VPN ANY %HDCF-NET ANYHOST %Fp576 %Qgtds288 %Qgrds192 nein 0 ja nein ja 0 Priorisierung VPN Einwahl DCF-NET
WIZ_VPN-CLIENT_DCF-NET ANY ANYHOST %HDCF-NET %Lcds0 %A nein 0 nein ja ja 0
Wenn ich mit dem Notebook den Lanmonitor über WAN öffne, mit VPN was arbeite - und sehe mir das Geschehen an - wird für RX 192 reserviert und die PMTU Reduzierung ist aktiv, aber für TX wird nichts reserviert.
RX bedeutet doch was der Lancom übers WAN empfängt, also was ich vom Notebook aus sende, TX umgekehrt.
Wieso wird für TX 0 reserviert? Es müssen doch Daten vom Lancom Richtung Notebook zurück gesendet werden oder wie reserviere ich "Büro-Upstream-Bandbreite" die vom VPN Client angefordert wird?
Ich verwende überwiegend den Remotedesktop oder hole / sende Dateien von / auf unseren Server.
Gruß
Michael
Danke für Deine Antwort.
Ich habe mit folgendem Hintergrund eine Regel gebaut, sehe aber im Lanmonitor keine TX Reservierung.
Hintergrund:
1.) Der VPN Client lässt vom Notebook ins VPN nur 10.10.0.0/255.255.0.0 Netze, das ist unser eigenes Netz, sowie per VPN vom 1724 erreichbare Netze.
2.) Das Büro mit dem 1724 hat einen maximalen Upstream von 384 (415 lt. Modem), der Kabelanschluss, an dem das Notebook hängt, einen maximalen Upstream von 256 (???).
3.) Die PMTU soll alle anderen Verbindungen geschmeidig machen, so das das Notebook flüssig läuft.
4.) Wir haben auf dem 1724 die 6.32 laufen.
Alle Regeln:
WINS TCP,UDP %S137-139 ANYHOST ANYHOST %Lcds0 @i %R nein 0 ja nein ja 0 block NetBIOS/WINS name resolution via DNS
PRIO-VPN ANY %HDCF-NET ANYHOST %Fp576 %Qgtds288 %Qgrds192 nein 0 ja nein ja 0 Priorisierung VPN Einwahl DCF-NET
WIZ_VPN-CLIENT_DCF-NET ANY ANYHOST %HDCF-NET %Lcds0 %A nein 0 nein ja ja 0
Wenn ich mit dem Notebook den Lanmonitor über WAN öffne, mit VPN was arbeite - und sehe mir das Geschehen an - wird für RX 192 reserviert und die PMTU Reduzierung ist aktiv, aber für TX wird nichts reserviert.
RX bedeutet doch was der Lancom übers WAN empfängt, also was ich vom Notebook aus sende, TX umgekehrt.
Wieso wird für TX 0 reserviert? Es müssen doch Daten vom Lancom Richtung Notebook zurück gesendet werden oder wie reserviere ich "Büro-Upstream-Bandbreite" die vom VPN Client angefordert wird?
Ich verwende überwiegend den Remotedesktop oder hole / sende Dateien von / auf unseren Server.
Gruß
Michael
Hi MichaelF
Wenn du die Mindestbandbreite in Senderichtung erwingen willst, dann muß die entsprechnde Aktion "%Qgtdsf288" lauten...
Gruß
Backslash
Das ist auch korrekt so. Eine Tx-Reservierung siehst du im LANmonitor erst dann, wenn du die Bandbreitenreservierung "erzwingst". Ohne "erzwungene" Reservierung werden die entsprechenden Pakete einfach nur bevorzugt ünbertragen, solange die Mindestbandbreite noch nicht ausgeschöpft ist. Das hat den Vorteil, daß nur die wirklich benötigte Bandbreite verwendet wird, d.h. wird weniger als die angegebene Bandbreite benötigt, steht der Rest allen anderen zur Verfüngung. Bei erzwungener Reservierun, steht allen anderen nur die "Restbandbreite" zur Verfühung - unabhängig davon, ob der "Erzwingende" die Mindestbandbreite überhaupt ausnutzt.Ich habe mit folgendem Hintergrund eine Regel gebaut, sehe aber im Lanmonitor keine TX Reservierung.
Wenn du die Mindestbandbreite in Senderichtung erwingen willst, dann muß die entsprechnde Aktion "%Qgtdsf288" lauten...
Gruß
Backslash