Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1583 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Is my understandig of how QoS works correct?..

mnv
Hello everyone,

few hours today I've spent reading posts here on how to configure QoS and how it works.

Then I made some tuning at my Astaro box (software, the latest version).

If somebody more advanced than me will say if that is correct, I'll be very thank [[[:)]]].

So...

Astaro's LAN IP is 192.168.1.252.

There is a subdivision behind the cheap Edimax router, it has WAN IP of 192.168.1.237 (and LAN IP of 192.168.7.252). So people 192.168.7.0/24 behind this router are doble-NATed [[[:)]]].

They also have a PC with torrents and they like to download some BS (Bob, am I right? [[[:)]]] ) from the net and jam the bandwidtch.

I decided to give'em 384 kbit guarantee and up to 512 kbit max.

What I did is shown below.

First, I create two traffic selectors:

http://img25.imageshack.us/img25/4272/astaroshaper1.jpg

http://img27.imageshack.us/img27/6851/astaroshaper2.jpg

Then, I defined the bandwidtch pool as this:

http://img18.imageshack.us/img18/4089/astaroshaper3.jpg

I hope that all traffic from 1.252 to 1.237 and vice versa will be limited with 512 kbit and will have 384 kbit CIR.

Is that correct? Will these rules do what I want?

And is it correct to bind bandwidth pool to "internal (up)" interface?


This thread was automatically locked due to age.
  • 0
    You only can make rules for traffic leaving an interface; traffic coming to the interface is managed automatically by Astaro QoS.  Also, the philosophy of Astaro QoS is to not limit anyone from using available bandwidth, rather to guarantee adequate bandwidth to needed traffic.

    If I understand correctly, the rogue users are all NATted behind 192.168.1.237].  To accomplish what you were trying to do, I think your traffic selectors should be "Rogues Out" = '[192.168.1.237] -> [utorrent ports or Any] -> Internet' and "Rogues In" = 'Internet -> [utorrent ports or Any] -> [192.168.1.237]'.

    Then, create a bandwidth pool on the External interface using "Rogues Out" with a small guarantee and an upper limit.  And, create one on the Internal interface using "Rogues In" with the desired guarantees and limits.

    Rather than focus your configuration on limiting undesireable traffic, I would urge you to think about guaranteeing desireable traffic.

    Cheers - Bob
  • 0 in reply to BAlfson
    You only can make rules for traffic leaving an interface; traffic coming to the interface is managed automatically by Astaro QoS.  Also, the philosophy of Astaro QoS is to not limit anyone from using available bandwidth, rather to guarantee adequate bandwidth to needed traffic.

    If I understand correctly, the rogue users are all NATted behind 192.168.1.237.  To accomplish what you were trying to do, I think your traffic selectors should be "Rogues Out" = '[192.168.1.237] -> [utorrent ports or Any] -> Internet' and "Rogues In" = 'Internet -> [utorrent ports or Any] -> [192.168.1.237]'.

    Then, create a bandwidth pool on the External interface using "Rogues Out" with a small guarantee and an upper limit.  And, create one on the Internal interface using "Rogues In" with the desired guarantees and limits.

    Rather than focus your configuration on limiting undesireable traffic, I would urge you to think about guaranteeing desireable traffic.

    Cheers - Bob


    Aha! (c) Tom and Jerry  [:)]

    I've feeling that something wrong...

    I made corrections - here they are: Yfrog Album

    From your point, is it right?

    Thanks for explanation!!
  • 0
    Looks great!  Don't forget to put upper-limits on those bandwidth pools; right now,you only are guaranteeing bandwidth to undesireable traffic instead of limiting it.

    Cheers - Bob
  • 0 in reply to BAlfson
    Looks great!  Don't forget to put upper-limits on those bandwidth pools; right now,you only are guaranteeing bandwidth to undesireable traffic instead of limiting it.

    Cheers - Bob


    Bob, my admin called me today and said that internet for 1.237 works extremely slow.

    I thought there are some viruses/trojans which are jamming the bandwidth, however... when I switched off all these bandwidth pools, all began to work just fine (1) and total bandwidth usage was not more than 128 kbits (2).

    So I suppose that this "slowness" was "created" by bandwidth pools. Of course, I'm not sure.

    What was that? [:)]
  • 0
    I'm sure that did cause the slowness.  I wonder if you had the limitations in the right places.  I would have expected the bandwidth pools to be:

    External: 

    Guarantee: 10% of WAN upload bandwidth


    Limitation: from 20% to 80% of WAN upload bandwidth; start with 80% and decrease if you see problems


    Internal:

    Guarantee: 10% of WAN download bandwidth


    Limitation: 60% of WAN download bandwidth


    I think you can lock down the number of ports used by utorrent, and you could put harsher limits on that traffic instead of limiting all internet traffic.

    As an alternative, you could add a new bandwidth pool on the Internal interface at the top of the list for 'Any -> Web surfing -> Internal (Network)' to guarantee 90% to "good" traffic.  Since the ports for utorrent aren't in that list, the limiting bandwidth pool would be preempted by this new pool.

    Cheers - Bob
  • 0 in reply to BAlfson
    I'm sure that did cause the slowness.  I wonder if you had the limitations in the right places.  I would have expected the bandwidth pools to be:

    External: 

    Guarantee: 10% of WAN upload bandwidth


    Limitation: from 20% to 80% of WAN upload bandwidth; start with 80% and decrease if you see problems


    Internal:

    Guarantee: 10% of WAN download bandwidth


    Limitation: 60% of WAN download bandwidth


    I think you can lock down the number of ports used by utorrent, and you could put harsher limits on that traffic instead of limiting all internet traffic.

    As an alternative, you could add a new bandwidth pool on the Internal interface at the top of the list for 'Any -> Web surfing -> Internal (Network)' to guarantee 90% to "good" traffic.  Since the ports for utorrent aren't in that list, the limiting bandwidth pool would be preempted by this new pool.

    Cheers - Bob


    Bob, it looks like this specific installation of Astaro is very "stupid".

    Not the Astaro itself, but the hardware. It is old enough.

    Today admin asked me to switch off "this BS" and to put PfSense back [:)].

    Few hours all people in the office (not only those behind 1.237) were unable to use internet. Now Astaro is switched off in this place.

    However, I've send you a PM with access to the another Astaro, and it configured exactly the same way as this "buggy" one.

    So please check out this config (and regarding to the "Scan HTTPS" is not selected, which we're discussing in another thread).

    Thanks a lot!