Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 992 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

QoS - Just a confirmation

eclipse79oldacct
Hello, 
I have configured QoS, I would like your opinion about this [:)]

In my DMZ I have 1 Web Server, in my lan we have some clients that (of course!) can surf in internet. What I have to achieve is this:

1-1000k of guaranted bandwith for connection FROM internet TO my web server
2-1200k of guaranted bandwith for connection FROM lan clients TO internet web sites

So I have:

  • Enabled QoS in External interface
  • Created a bandwidth selector for the first point with these settings:


    Name: Internet Accesses to HTTP Server
    Source: Internet
    Service: HTTP
    Destination: Web Server
    TOS/DSCP: OFF


  • Created a bandwidth selector for the second point with these settings:


    Name: Client Accesses to Internet Web
    Source: Internal
    Service: HTTP
    Destination: Internet
    TOS/DSCP: OFF


  • Created a bandwidth pool for External Interface with these settings:


    Bandwidth: 1000
    Traffic Selectors: Internet Accesses to HTTP Server


  • Created a bandwidth pool for External Interface with these settings:


    Bandwidth: 1200
    Traffic Selectors: Client Accesses to Internet Web





Is it right?
In this article I have read that QoS is not applied to the web traffic filtered by security module. So the second point is absolutely useless??

Thank you
eclipse79


This thread was automatically locked due to age.
  • 0
    Your first traffic selector, "Internet Accesses to HTTP Server", won't work with the External interface.  You only can use a selector for outbound traffic with the External interface.  

    Your second will work for traffic not being proxied.  Better would be to use "Source: Any".  In any case, that's only upload and download-request traffic.  If you're only concerned about users requests for downloads getting out, then you likely need to reserve much less bandwidth.

    Based on what we've learned here, in configuring QoS for the External interface, check 'Download Equalizer' but not 'Uplink Optimizer' and be sure to set the uplink and downlink speeds.  Now, make a traffic selector

    Name: Internet Accesses to HTTP Server
    Source: Web Server
    Service: HTTP
    Destination: Internet
    TOS/DSCP: OFF


    Create a bandwidth pool on the External Interface using this selector to guarantee 1000kbits to traffic being downloaded from the web server.  The users' download requests might not need anything beyond this, but, if they seem to have slow browsing, then you should put in your second selector & bandwidth pool to guarantee bandwidth to outbound surf requests. 

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks a lot!
    All clear as always [:)]

    Just a curiosity: why the proxied traffic is not QoS-ed?! [:(]
  • 0
    Good question.  All packets that come from the HTTP/S Proxy have "External (Address)" as 'Source', so so don't qualify for a traffic selector looking for "Internal (Network)".  If you use "Any", both proxied and unproxied packets qualify.

    Cheers - Bob
  • 0 in reply to BAlfson
    Good question.  All packets that come from the HTTP/S Proxy have "External (Address)" as 'Source', so so don't qualify for a traffic selector looking for "Internal (Network)".  If you use "Any", both proxied and unproxied packets qualify.

    Cheers - Bob


    Mmmm... this means that is not possible to assign different guaranteed bandwith for different networks for the http service [:(]
  • 0
    If you are using Proxies or VPNs, that is correct as the traffic leaving the Astaro has the IP of "External (Address)" as the source.

    There are two suggestions you might want to vote for:

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob, in the second case described above, specifying "Source: Any" as you suggested, if a user generates proxied traffic from a website that is "whitelisted" (I create an excpetion for av scanning, content filter, ecc), does the QoS works or not?

    Thanks [:)]
  • 0
    if a user generates proxied traffic from a website

    Could you give an example to clarify the question?

    Cheers - Bob
  • 0 in reply to BAlfson
    Could you give an example to clarify the question?

    Cheers - Bob


    Sure!
    One of my users have to use "LogMeIn" application, as you know it generates a lot of traffic. So I create an exception (with HTTPS traffic inspection LogMeIn does not work). In this case, the traffic generated to LogMeIn remote server is QoS-ed?
  • 0
    Anytime you can create a working traffic selector, you can do QoS.  So, in this case, you might use 'External (Address) -> HTTPS -> {logmein.com}' to create a bandwidth guarantee on the External interface.

    Cheers - Bob