Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 5844 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

QoS RDP over SSL-VPN

patrick.schneider
Hello all,

I'm trying to set up a QoS for RDP over SSL-VPN.

The situation:
A remote user is connecting via SSL-VPN to the Astaro. He then connects via RDP to our Terminal Server.

The problem:
Every time someone (from a PC in the Astaro's internal network) uploads something to a remote FTP server, the RDP connection is practically unusable because the upload is taking up most of the upload bandwidth.

The solution:
?

I edited "WAN" on the QoS page to match our connection and enabled QoS on the Internal and WAN Interface.

Next, I created a traffic selector:
Source: ssl-user (user network) 
Protocol: RDP 
Destination: terminalserver (host definition)

Finally, I added a bandwidth pool on the internal Interface and enabled it.
Position: 1
Guaranteed Bandwidth: 128 kbit/s
Traffic selector: the one I just created

Is this the right way to achieve QoS for RDP over SSL-VPN or did I totally got it wrong?

Regards,

Patrick


This thread was automatically locked due to age.
Parents
  • 0
    Hi, Patrick,

    The whole QoS setup is a bit like magic for me.  Having admitted that, here's what I think will help...

    Since bandwidth pool settings only affect the uplink traffic, you probably benefit from enabling QoS on the Internal interface, but not from establishing a bandwidth pool.

    Mostly, you need QoS on the External interface.  I don't know if the traffic selector should be for SSL or RDP, but the source should be the terminal server and destination should be Any.

    Please let us know what you find that works.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hello Bob,

    thanks for your reply. I still have no acceptable solution.
    However, to understand how the Astaro is working, I tried to visualize what's going on: 

    Client 

    |

    V

    [RDP encapsulated in OpenVPN-SSL]

    |

    V

    (Internet) 

    |

    V

    [RDP encapsulated in OpenVPN-SSL]

    |

    V

    Astaro

    |

    V

    [RDP]

    |

    V

    Terminalserver

    The main question is: does the Astaro recognizes the traffic as RDP (because the target is port 3389 on the Terminalserver) or is it recognized as SSL because the target is port 443 on the Astaro.

    I'm puzzled [;)]
    Another trial and error game...

    Regards,
    Patrick
  • 0 in reply to patrick.schneider
    What if you put two logged PF rules at the top...  One allows 'Any->HTTPS->Any' and the other 'Any->RDP->Any'.  Then see what happens in the Live Log.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    I tried to log the packets as by your suggestion. Unfortunately, they seem to bypass the packet filter. Although 2 users are connected by OpenVPN and are working on the terminalserver, no packets are showing up in the packet filter live log(neither any:443:any nor any:3389:any).

    Nevertheless i somehow managed to get the QoS working:
    I enabled QoS on the WAN interface, entered the correct speed settings for the interface, (see 1.jpg)
    added a new traffic selector (any:443:any, see 2.jpg)
    and added a new bandwith pool on the external interface using the new traffic selector, setting an appropriate minimum bandwith(see 3.jpg).

    Bob, thanks again for you help and suggestions, which pointed me into the right direction. [:)]

    Regards,
    Patrick
  • 0 in reply to patrick.schneider
    Is that right that you have guaranteed bandwidth of "000"?
  • 0 in reply to BAlfson
    Hello Bob,

    it's definitely "800". I think you must have read it wrong.

    Regards,
    Patrick
Reply Children
  • 0 in reply to patrick.schneider
    I got up four hours earlier, so I definitely had my eyes lined up with the holes in my head!  Too much multi-tasking, maybe.

    Thanks for posting those pics and your results, Patrick.  I think it means that I've begun to understand how to configure QoS.  I think the traffic selector only needs to apply to outbound/uplink traffic because inbound traffic is optimized automatically by the Astaro as long as QoS is activated for the interface.  So, I'd be interested to know if it works just as well if you replace 'Any:443:Any' with 'TermSrvr:443:Any' - that would further complete the picture.

    Cheers - Bob