Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 1235 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

QOS für _EIN_ bestimmtes Profil

gkemter
Kann man für ein bestimmtes HTTP-Proxy-Profil QOS einrichten ?


This thread was automatically locked due to age.
  • 0
    Hallo gkemter,

    was genau willst Du damit erreichen? Bestimmten AD Usern den Spaß am Surfen durch Internetverlangsamung nehmen?

    Kurz gesagt: das geht nicht. QoS kann lediglich auf Basis der Quell- und Ziel-IP und der genutzten Services sowie bereits gesetzter TOS Bits filtern / QoSen, aber nicht auf Basis von Informationen aus der Proxy-Ebene, wie bspw. eine bestimmte Usergruppe.

    LG
    Christian
  • 0
    Excuse me if I post in English - please respond in German!

    Christian, in fact, Profiles are selected by subnet; it is only inside a Filter Assignment that User groups are considered.  So, the question is whether the traffic leaving the proxy is masqueraded before it's seen by QoS rules.

    Based on the way you have to route HTTP traffic out a second WAN connection when not using multipathing, I think the answer is that Gregor cannot do what he wants.  I think that all outbound traffic leaving the proxy has the IP of "External (Address)" as its 'Source'.

    MfG - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    @christian

    ich will den Usern nicht das surfen vermiesen, eigentlich will ich das Gegenteil erreichen.

    Wir haben ein Netzwerksegment , welches für Installtion/Updates von PCs benutzt wird. Der HTTP Traffic läuft dabei über Proxy wegen Virenprüfung.
    Wenn jetzt ein PC Updates zieht , dann kann er die ganze Bandbreite blockieren.
  • 0
    @gkemter:

    Ah, jetzt verstehe ich das Szenario.
    Leider gibt es bei der Verwendung des Proxies hier keine Möglichkeit, ein QoS anzusetzen; die einzige Idee, die mir kommt, wäre ein QoS auf die Zielserver / Updateserver zu legen. 

    Ansonsten ist feature.astaro.com Dein Freund (und mindestens einen Punkt von mir haste sicher[;)] ).

    Liebe Grüße
    Christian
  • 0
    die einzige Idee, die mir kommt, wäre ein QoS auf die Zielserver / Updateserver zu legen.

    Yes, great idea, Christian.  If microsoft.com and windowsupdate.com (for example) are exempted from the Proxy (with a PAC file or via 'Transparent mode skiplist', not just an Exception), then a Traffic Selector can be made to limit that traffic, and packet filter rules to limit the non-proxy traffic to those sites.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Die Frage ist in welcher Reihenfolge Astaro die Internen Regeln abarbeitet.

    Weil eigentlich müsste ein QOS 
    auf 
    Source = Any (External)
    Service = HTTP
    Destination = mein internes Netz (Technik) reichen.

    Setzt aber vorraus, daß die Snat Regeln vom Proxy zuerst verarbeitet werden.
  • 0
    Hi gkemter,

    Der Proxy macht ja kein SNAT, sondern baut die Verbindung komplett neu mit der ASG als Quell-IP neu auf, bevor sie auf das ge-QoS-te Interface trifft.

    Das macht das Ganze so schwierig.

    LG
    Christian
  • 0 in reply to gkemter
    ...wenn Du den Proxy nutzt, dann müsste die Source IP aber das interne Astaro Interface sein. Irgendwo hatte das hier auch schon mal einer ausprobiert.
  • 0 in reply to ClausP
    welche interne genau, wenn man zb. 4 interne Netzwerke hat ?