Jump to content

QOS, VoIP, Site-to-Site VPN


Memphis
 Share

Recommended Posts

Καλησπέρα,

 

Τις τελευταίες ημέρες προσπαθώ να ρυθμίσω το QOS σε ένα site-to-site VPN, καθώς εξυπηρετεί μεταξύ των άλλων (file sharing, data εφαρμογών) και VoIP υπηρεσίες. Στη μια άκρη έχουμε to Watchguard XTM 21 και στην άλλη ένα Draytek 2820n με δύο ADSL σε κάθε σημείο. Και τα δύο ισχυρίζονται ότι υποστηρίζουν QOS και εγώ δεν έχω λόγο να πιστεύω το αντίθετο [:)]

 

Πριν ξεκινήσω θα ήθελα να ρωτήσω το εξής:

Έστω ότι έχω ρυθμίσει όλα τα εσωτερικά μου δίκτυα επιτυχώς όσον αφορά το QOS. Το WAN link πώς συμπεριφέρεται στο πακέτο όταν αυτό βγει στο Internet;

Αναγνωρίζει τα marked πακέτα, καταργεί το marking ή απλά το αγνοεί αλλά διατηρεί την πληροφορία στο header;

Από ότι κατάλαβα οι πάροχοι καταργούν το marking εκτός αν υπάρχουν μισθωμένες γραμμές, όπου γίνεται απευθείας συμφωνία με τον πάροχο σχετικά με το QOS. Με ADSL, το καλύτερο που μπορώ να πετύχω είναι να φτάσει το πακέτο πρώτο στη αρχή του VPN tunnel, πριν βγει στο WAN link. Από εκεί και πέρα και μέχρι να φτάσει στο απέναντι router είναι free for all.

Υποθέτω ότι για να πετύχω QOS σε ένα δίκτυο πρέπει όλες οι δικτυακές συσκευές από τις οποίες διέρχεται το πακέτο να είναι QOS aware, διαφορετικά χάνεται το prioritization.

 

Αυτή τη στιγμή αντιμετωπίζω το εξής (μάλλον κλασικό) πρόβλημα:

Μιλάω μέσω VoIP με το άλλο άκρο του VPN και όταν ξεκινήσω ένα upload η φωνή χάνεται (ή έχει πολύ μεγάλη καθυστέρηση) καθώς το upload καταλαμβάνει όλο σχεδόν το διαθέσιμο bandwidth (Data και Voice παιρνούν από το ίδιο VPN).

Έχω δημιουργήσει μια policy στο άκρο του Draytek (εκεί βρίσκονται τα IP τηλέφωνα), σε όλο το traffic μεταξύ των subnets του VPN να έχουν προτεραιότητα οι RTP πόρτες. Παρόλα αυτά όταν ξεκινήσω το upload από το άκρο του Draytek η φωνή χάνεται τελείως ή έχει πολύ μεγάλη καθυστέρηση. Όταν διακοπεί το upload όλα καλά.

 

Είναι θέμα ρυθμίσεων από την πλευρά μου αυτή η συμπεριφορά ή οφείλεται στα WAN links, που δεν μπορώ να πειράξω; Το Draytek βλέπω ότι όντως περνάει τα πακέτα στις σωστές ουρές προτεραιότητας.

 

Μιας και  υπάρχουν δύο ADSL σε κάθε άκρο θέλω να δώσω στο VoIP αποκλειστικές γραμμές και να αφήσω στο δεύτερο ζεύγος ADSL τα data. To Draytek δεν υποστηρίζει δεύτερο subnet.

Πώς θα μπορούσα να απομονώσω τα IP τηλέφωνα και να τα στείλω μέσω VPN tunnel της επιλογής μου; Είναι θέμα routing ή θα χρειαστώ επιπλέον εξοπλισμό;

 

Ευχαριστώ εκ των προτέρων [:)]

 

Link to comment
Share on other sites

Ένα βασικό που παρέλειψες είναι το upload απο κάθε άκρο πόσο είναι. Αν απο τη μία έχεις έως 24 και απο την άλλη 2Μb το upload της μιας πλευράς σου δημιουργεί θέμα.

Επίσης δε ξέρω για το Watchguard αλλα θα σου πω για το Draytek καθώς το έχω υλοποιήσει.

Στο Draytek έχεις την επιλογή απο την κάθε γραμμή στο απέναντι draytek να σηκώσεις 1 vpn tunnels για την κάθε γραμμή ώστε να σου κάνει load balance αλλά και fail over σε περίπτωση που σου πέσει η μία γραμμή. Σε αυτή την περίπτωση θα έκανες τη δουλεια σου απλά καθώς θα σου έκανε balance αυτόματα χωρίς Qos . Φαντάζομαι ότι η ίδια επιλογή θα υπάρχει και στο watchguard. Σε αυτή τη περίπτωση απλα θα πρέπει να έχεις τον ίδιο εξοπλισμό και στα 2 άκρα.

Για το 2820 η δεύτερη η πόρτα του είναι wan port και υποστηρίζει σίγουρα 2πλο subnet. Έχω την εντύπωση ότι το κάνει και η dsl port αλλά μπορώ να σιγουρευτώ το πρωί αν μπω στον πελάτη και το δω. Ίσως όμως και να έχεις δίκιο. Δε θυμάμαι απέξω 100% ώστε να είμαι σίγουρος.

Εσύ έχει ένα vpn απο τη μια γραμμή προς το watchguard? Ή έχεις 2 vpn ένα για κάθε γραμμή?

Link to comment
Share on other sites

Απόστολε καλησπέρα, ευχαριστώ για την απάντηση.

 

Για να έχεις μια καλύτερη εικόνα έχω επισυνάψει το διάγραμμα του δικτύου.

Σχετικά με το 2820 το έψαξα αρκετά και δεν υποστηρίζει δεύτερο subnet. Η επιλογή που έχει για το Second Subnet αφορά όταν έχεις εύρος από public IP’s ώστε να μπορέσεις να τις ρουτάρεις σε pc του εσωτερικού σου LAN.

Όπως βλέπεις και από το διάγραμμα, έχω δημιουργήσει ένα VPN με τα WAN 1 και WAN 3. Έχω δημιουργήσει 2 tunnels ώστε να επικοινωνεί το 192.168.3.0 με τα 10.0.1.0/24 και 192.168.1.0/24. Τα WAN 2 και WAN 4 είναι ελέυθερα και χρησιμοποιούνται για Internet.

 

Αν το 2820 υποστήριζε δεύτερο subnet θα έφτιαχνα ένα VPN με τα WAN 2 και WAN 4 και θα έστελνα από εκεί τα IP τηλέφωνα στο 10.0.1.0/24.

Έτσι θα διαχώριζα data και VoIP traffic. Στην πλευρά του Draytek όμως δεν έχω δεύτερο subnet, οπότε όλη η κίνηση περνά από το ίδιο WAN tunnel.

 

Έχω ενεργοποιήσει QOS με κανόνα "From 192.168.3.0/24 to 10.0.1.0/24" ,τις RTP πόρτες και την 5060. Ενώ έχω δώσει 65% bandwidth, όταν ξεκινήσω ένα upload από το 192.168.3.0/24 στη διάρκεια μιας κλήσης κόβεται η φωνή (και λογικό αφού ανεβάζω με 90Kb, full capacity δηλαδή), παρόλο που βλέπω το traffic στο αντίστοιχο class. Επίσης δοκίμασα να βάλω σε δεύτερο rule την TCP 445 (copy), δίνοντας της minimum bandwidth, επίσης χωρίς αποτέλεσμα.

Δοκίμασα να ορίσω bandwidth limit αλλά περιορίζει μόνο το traffic που βγαίνει προς Internet. To VPN μένει ανέπαφο.

 

Μπορώ στο Draytek να ορίσω δεύτερο tunnel (10.0.1.0/24 <=>192.168.3.0/24) με το δεύτερο ζεύγος ADSL και να φτιάξω load balance κανόνες; Ή είναι εφικτό, όπως αναφέρεις, μόνο αν έχεις ίδιο εξοπλισμό στα άκρα; Αν ισχύει το δεύτερο, χάνεται αυτή η εναλλακτική.

Είδα  ότι το 2820 υποστηρίζει port based vlan. Σκέφτομαι να βάλω ένα router σε ένα δεύτερο VLAN, static IP’s παντού (οι VoIP συσκευές είναι 4) και να δοκιμάσω να βγω από συγκεκριμένο VPN. Υπάρχει περίπτωση να παίξει ή είναι λανθασμένη η προσέγγιση; Προσπαθώ να διαπιστώσω,τί μπορεί να κάνει το 2820 και τί όχι.

 

Αδιέξοδο! Αυτό το routing είναι σπαζοκεφαλιά, ειδικά με διαφορετικούς εξοπλισμούς [:)]

 

Link to comment
Share on other sites

Μας έπιασαν και οι ζέστες [:)]

 

Απόστολε τί γνώμη έχεις για το setup μιας και έχεις δουλέψει το 2820; Ο QOS κανόνας είναι σωστά στημένος; Δεν θα έπρεπε να έχω διακοπές (στο copy π.χ.) ;

Σήμερα βρήκα κάτι documentations σχετικά με το δεύτερο subnet που δηλώνουν ότι μπορεί να χρησιμοποιηθεί ως εσωτερικό.

 

Αύριο το πρωΐ θα βρίσκομαι επί τόπου στο Draytek μηπως το κάνω και δουλέψει όπως θέλω.

 

Οι εναλλακτικές είναι πάντοτε καλοδεχούμενες.

 

Link to comment
Share on other sites

Χθες, έκατσα στο Draytek και τα έστησα όλα από την αρχή. Του είχα κάνει

και κάτι αναβαθμίσεις firmware χωρίς να του κάνω reset και είπα να τα

ξαναφτιάξω.

Φαίνεται ότι άξιζε τον κόπο.

Πλέον το QOS δουλεύει κανονικά και δεν έχω διακοπές όταν γίνεται maximum upload [:)]

 

Τέλος καλό, όλα καλά.

Ευχαριστώ για τη βοήθεια.

Link to comment
Share on other sites

 Share

×
×
  • Create New...