ComputerBase Menü
Aktuelles

Multipath Regeln / Traffic verteilen / auslesen

PEASANT KING

PEASANT KING

Commander
Registriert
Okt. 2008
Beiträge
2.397
So ich bins noch mal.

Zur Zeit habe ich drei Router hier mit jeweils einer DSL Leitung. Zwei Leitungen sind VDSL und eine ADSL Leitung.

Diese Leitungen sind per MultiWAN Ports mit unserer Sophos SG 115 verbunden.
In der Sophos habe ich Multipath Regeln aufgestellt die Schnittstellen eingerichtet und hinterlegt, welche Dienste über welche Leitungen nach außen kommunitieren sollen.

Über die ADSL Leitung läuft die ganze Telefonie die ADSL Leitung besitzt nur 16/2 Mbit jetzt ist es regelmäßig so, das der Upload an seine Grenzen kommt, obwohl die ADSL Leitung so konfiguriert ist, das hier nur der Telefontraffic drüber laufen sollte.
Ich weiß das hier auch VPN Verbindungen über die ADSL Leitung laufen, da hier von einem anderen Standort per VPN auf einem Terminalserver gearbeitet wird.

Gibt es eine Möglichkeit den exakten Traffic raus zu finden der alles über die ADSL Leitung läuft?
Die Sophos ist in den Fritzboxen als Exposed Host eingetragen logisch das hier dann nur die Sophos als Traffic Verusacher auftaucht.
Die Sophos ist da auch nicht perfekt was die Informationen angeht.

Im Prinzip ist das Ziel außer die Telefonie nichts mehr über die ADSL Leitung laufen zu lassen.
 
Meine Sophos Erfahrungen liegen leider schon 6 Jahre zurück und ein Freund wurde ich nie damit.

Aber der VPN Traffic kann ja von der Gegenseite aufgebaut werden, nutzen die vlt die IP des ADSL Anschlusses? (nur so als simple Idee)

Wenn was von extern rein kommt kann die Sophos das ja nicht regeln, Sie kann ja nur regeln was von intern über welches Interface raus geht.
 
  • Gefällt mir
Reaktionen: Asghan
Ich kenne mich mit Sophos auch nicht aus, aber ich gehe stark davon aus, dass es in irgendeiner Form eine Möglichkeit gibt, tcpdump, o.ä. zu verwenden - entweder innerhalb der GUI oder über SSH. Damit kannst du dann jedes Datenpaket, das den Parametern entspricht (zB in/out WANx), protokollieren. So müsstest du sehen können was konkret über diesen WAN-Port läuft.
 
Deine Konfiguration an sich ist halt auch wüst, wenn ich lese Exposed Host, heißt es ja schon mal du hast die öffentliche IP des Internetanschlusses nicht an der SG anliegen. So was ist eigentlich immer schlecht, vor allem wenn dann auch noch VPNs drüber laufen. Muss dann alles mit IPSec NAT-T laufen, ist halt auch nicht so schön.

Grundsätzlich kannst du ja schauen, wie die IPSec Verbindungen konfiguriert sind. Da wählst du ja aus, auf welcher Schnittstelle überhaupt die Verbindung angenommen oder aufgebaut wird.

Ansonsten kannst du in der Sophos natürlich schauen, welcher ein-/ausgehende Traffic läuft, sofern du an den Regeln das Logging einschaltest. Ist aber auch auf einer SG115 problematisich, wenn da sehr viele Verbindungen drüber laufen, da die da schnell in die Knie geht.
 
PEASANT KING schrieb:
Ich weiß das hier auch VPN Verbindungen über die ADSL Leitung laufen, da hier von einem anderen Standort per VPN auf einem Terminalserver gearbeitet wird.
...
Im Prinzip ist das Ziel außer die Telefonie nichts mehr über die ADSL Leitung laufen zu lassen.
Zum Vergrößern anklicken....
Tja, dann dürfen natürlich auch die VPN Verbindungen nicht über den ADSL Anschluss laufen.

Denn was die Externen da an Daten benötigen, das läuft darüber jetzt als Upstream. Die Sophos kennt nur diesen Weg zu den Externen.
 
Ich weiß das der VPN nicht über die ADSL Leitung laufen dürfte nur kann ich das leider zur Zeit nicht ändern.

Ich habe es schon zeitweilig geändert gehabt, die Verbindung war auch ok, allerdings war der Upstream dennoch auf der ADSL Leitung...

Ich habe hier auch das totale Chaos übernommen von meinen Vorgängern.

@Rache Klos
Da ich ja es hier mit drei Leitungen zu tun habe kann ich nicht explizit eine IP anlegen an die Sophos.
Hier sind so einige Dienste die auch erreichbar sein müssen und schlimm wird es erst da die Zweigstelle mit über unsere In House Telefonanlage mit telefoniert, allerdings bin ich schon dabei hier eine vernünftige Leitung zu bekommen und dann alles über eine Leitung laufen zu lassen, um weg vom Chaos zu kommen.
 
Du kannst die VPN Verbindungen anpassen so dass diese nicht mehr über die ADSL Leitung läuft. Dafür musst du aber beide Seiten anpassen.

Ich selbst arbeite jeden Tag mit Sophos. Wenn du die VPN auf eine andere Leitung legst kann der Traffic auch nur noch darüber gehen. Alles andere wäre asynchrones Routing und dies macht die Sophos per Default nicht (nur per Konsole zu ändern). Und bei VPN funktioniert dies generell nicht, sonst müsste der Tunnel ja Pakete von außerhalb des Tunnels annehmen.

Also ich könnte mir die Konfig, falls das möglich ist, gerne einmal zusammen mit dir ansehen. Ohne die genaue Konfig zu kennen ist es immer schwer so etwas aufzuräumen oder zu sagen wo genau der Fehler liegt.
 
PEASANT KING schrieb:
Ich habe es schon zeitweilig geändert gehabt, die Verbindung war auch ok, allerdings war der Upstream dennoch auf der ADSL Leitung...
Zum Vergrößern anklicken....
Dann ist das Multi-WAN nicht sauber konfiguriert, weil das darf natürlich nicht sein. Wenn ein VPN bei WAN1 ankommt, darf der Antwort-Traffic natürlich nicht auf WAN2 rausgehen. Die Gegenstelle könnte die Antwort dann gar nicht zuordnen, weil sie A angerufen hat, aber B zurückruft? Jeder Traffic, der bei WANx reinkommt, muss auch zwingend über WANx beantwortet werden und nicht über WANy.
 
@Raijin

Das sollte eigentlich klar sein, aber dann frage ich mich, wenn ich den VPN auf die VDSL Leitung gelegt habe
warum die Performance dennoch beim Download aus der Terminalsession direkt auf meine Workstation im Test
das Ganze ewig dauert, was mir nur zeigt, das es über die ADSL Leitung dennoch läuft.

Das VPN ist ist auf eine feste IP gebunden, die habe ich explizit geändert, also kann das Ganze ja nur noch über die VDSL Leitung laufen die diese feste IP besitzt.
 
Die Übertragungsrate ist bestenfalls ein Indiz, aber mehr auch nicht. Prüfe wie erwähnt mittels tcpdump (oder was Sophos ähnliches bietet) welchen Weg die VPN-Pakete tatsächlich nehmen. Wenn sie den richtigen WAN-Port nehmen, hat die Performance einen anderen Grund.

Testweise könntest du ja auch mal die ADSL-Leitung abklemmen und gucken ob das VPN damit schneller läuft.
 
  • Gefällt mir
Reaktionen: snaxilian
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

DJMadMax
Allgemeine Frage zum Traffic Routing bei VPN-Verbindungen
2
Antworten
27
Aufrufe
1.317
h00bi
h00bi
B
[VF] eigenes Kabelmodem aktivieren
Antworten
6
Aufrufe
912
Tom_123
T
Darkman.X
FB7590 + WireGuard + Dual Stack = Kein IPv6-Traffic über VPN?
Antworten
3
Aufrufe
2.350
riversource
R
PEASANT KING
3 Leitungen bündeln / Feste IP
2
Antworten
20
Aufrufe
4.410
snaxilian
S
DFFVB
Kurzes Review Qnap Qhora 301 / verschieden WLAN Router im Vergleich (Asus, Zyxel, QNAP, Synology)
Antworten
1
Aufrufe
355
Mickey Mouse
Mickey Mouse
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz