Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 6633 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Putting QOS on IPSEC site to site tunnel

tom11011
Hi group,

I have 2 astaros, one at each location.

Have an IPSEC vpn tunnel setup between the two.

I would like place QOS on this tunnel for all traffic.  I've created a config, but I don't think it is working.  Anyone have this working successfully care to share their setup?

First, from my understanding, QOS only works outbound correct?  If this is true, I would need an outbound at site A and an outbound at site B to get bidirectional QOS over vpn right?

Second, is the QOS applied to the external interface only for outbound traffic?

Third, if the traffic is encrypted once it reaches the External interface, can the astaro see the traffic in order to apply QOS to it?

Thanks
Tom


This thread was automatically locked due to age.
Parents
  • 0
    Hi, Tom,

    At site A, you can use a QoS rule on the External interface for traffic like 'External (Address) -> IPsec -> {site B}', but you cannot do QoS on the traffic inside the tunnel.  The exception is for packets that have TOS or DSCP bits set.

    Since you can't control what comes through the pipe to you, you can't guarantee bandwidth to inbound traffic.  As for the internal connections, they normally have ten times or more bandwidth than the WAN connection, so it usually doesn't make sense to put a QoS rule there.  One example of an exception would be a limiting rule to combat someone or something that's a bandwidth hog.

    Cheers - Bob
Reply
  • 0
    Hi, Tom,

    At site A, you can use a QoS rule on the External interface for traffic like 'External (Address) -> IPsec -> {site B}', but you cannot do QoS on the traffic inside the tunnel.  The exception is for packets that have TOS or DSCP bits set.

    Since you can't control what comes through the pipe to you, you can't guarantee bandwidth to inbound traffic.  As for the internal connections, they normally have ten times or more bandwidth than the WAN connection, so it usually doesn't make sense to put a QoS rule there.  One example of an exception would be a limiting rule to combat someone or something that's a bandwidth hog.

    Cheers - Bob
Children