Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 85095 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Traffic shaping not working?

guillerone
Hi guys.

We want to configure QoS in our environment. We have 3 WAN and 1 internal interface. I followed the help  and some other posts to configure the QoS but it's not working. I'm sure I'm doing something wrong but can´t find what.

We want to:
- Prioritise certain traffic (videoconference, mail, CRM, etc.) and assign minimum bandwith
- Limit some download speeds

The configuration we have looks similar to this under the badwith pools:
WAN1-2-3:
- Videoconference (outbound): Guaranteed 8Mb, number 1
- Skype (outbound): Guaranteed 0.5Mb, limit 3Mb, number 2
- CRM (outbound): Guaranteed 1k, numer 3
- Web surfing (outbound): Guaranteed 1K, number 4

CRM and general web surfing have the minimum guaranteed traffic, this is just so it prioritises CRM traffic over the rest of the HTTP/S traffic.

Internal interface: (this is a Gb LAN)
- Videoconference (inbound): Guaranteed 8Mb, number 1
- Skype (inbound): Guaranteed 2Mb, number 2
- CRM (inbound): Guaranteed 1k, numer 3
- Web surfing (inbound): Guaranteed 1K, number 4

The download speeds cannot be guaranteed over a specific WAN, right? To guarantee download bandwidth it must be done in the Internal interface and that's common for all internal networks and WANs.

So, the thing is that I made a few tests and this doesn't seem to work. I tried creating a bandwith pool to LIMIT my HTTP download speeds (just to test it out, I know you can do that with "Download throttling") but it's not working.

Did we configure it correctly?
You configure the inbound bandwidth in the "internal" interface and the outbound in the WANs, right?

Thanks a lot for your help!


This thread was automatically locked due to age.
  • 0
    Attached is another rule on the same interface. This one is just to guarantee some bandwidth and the rest of our rules are like this one, no upper limit.

    We don't know if they are working as they only guarantee (no limit) but the one in #4 is definitely not working.
  • 0
    Anything? Our users are lighting the torches [:(]
  • 0
    Guillerone, we have been grappling with getting throttling and shaping to work since acquiring our Sophos SG 430 UTMs in December 2014. I can confirm that download throttling does NOT work and disappointed that Sophos have not addressed this yet.

    A way around is to create a generic traffic selector (e.g. Anywhere -> Any -> Internet) which you can then use in your bandwidth pools for source networks (e.g. wireless guests wireless students, etc.) This way you can limit the maximum bandwidth based on source network.
  • 0
    A lot of smart people have problems with QoS because they make incorrect assumptions.  Here's my approach...
      Keep it simple.  Remember that every rule and the Interface must be reviewed when your bandwidth changes on the interface.
    • Start with only guaranteeing bandwidth to preferred outbound traffic on your External interface - don't limit anything in Bandwidth Pools.
    • Download Throttling is brutal, so use it sparingly.  Here's an example of how to guarantee 5Mbps of VoIP traffic on a 50Mbps connection:
      [LIST=1]Limit inbound VoIP traffic to 100000 kbps
    • Limit Internet-Any-Any to 45000 kbps

    • Look for problems that might lead to limiting some traffic.
    [/LIST]
    Cheers - Bob
  • 0
    Thanks both for replying.

    envercpt: I agree with your comments, Sophos UTM is a great product but QoS is really not that good. They should emphasize in making it better.

    Bob: we will try the workaround you are proposing, however it's not ideal since then you shared the guaranteeds bandwidth. For instance on a 50Mb connection, limiting any-any-any to 45Mb will leave 5Mb for the rest, therefore guaranteeing 5 Mb for Skype, Webex and whatever. Right?

    From quick tests I made, we seem to be able to:
    - Limit downloads: using bandwidth pools on the internal interface
    - Limit uploads: using bandwidth pools on the external interface
    I'm asumming that if limiting works, guaranteing will work too. We don't know how to test that.

    Further tests will be done tomorrow. Thanks.
  • 0
    I replaced the Any Source in the above with Internet.

    The first Download Throttling rule essentially just says, "don't let the following limitations apply to VoIP traffic," so Skype, WebEx and whatever, unless included in the first rule, are part of the limitation in the second.

    The proper way to control inbound traffic is now with Download Throttling rules.  Before they were introduced, we had to use the method you describe on the Internal interface.

    If you make Bandwidth rules on the External interface, be sure to uncheck 'Upload Optimizer' to avoid any unforeseen conflicts.  The same is true for 'Download Equalizer' if you have Download Throttling rules.

    Cheers - Bob