jojoaction
Goto Top

Trafficmenge - Reduzierung bei vpn-passthrough möglich?

Kann man im IIS des Windows-Server 2008 den DHCP-Clients eine Mindestbandbreite zuordnen?

Hallo zusammen,

wende mich mit einer ersten Frage an Euch:

In unserem Studentenwohnheim gehen derzeit 15, zukünftig 20, Studenten über einen Anschluss ins Internet (32 Mbit/s über Cable), müssen sich aber dazu, durch Firewallregeln gezwungen, erst ins Uninetzwerk per vpn einwählen.

Jetzt ist es so, dass die Trafficmenge monatlich zunimmt und der Anschluss zunehmend ausgelastet ist, vor allem abends. Teilweise haben wir 50GB / Tag und immer wieder bekomme ich Klagen über das langsame Internet.
Innerhalb von 2 Jahren hat sich der monatliche Traffic ca. verzehnfacht.

Im letzten Monat hatten wir folgende Werte:
Online-Zeit (hh:mm)745:01
Daten gesamt: 435813 MB
Daten gesendet: 84863 MB
Daten empfangen: 350950 MB


1. Frage: Wie ist Eure Erfahrung? Ist das normal oder erstaunlich viel Traffic?
2. Frage: Gibt es eine Möglichkeit durch einen Cache bspw. in einem Proxy Traffic zu sparen? Problem ist allerdings, dass der Internetverkehr ja über das vpn ins Uninetzwerk verschlüsselt und geroutet wird (Cisco Systems VPN Client).
3. Frage: Welche Möglichkeiten der Priorisierung seht Ihr ggf.? VOIP läuft vpn-unabhängig und das konnte ich durch die entsprechenden Ports priorisieren.
4. Frage: Wie verhält sich bei Euch das Verhältnis von Upload zu Download? Vor 2 Jahren war der Upload ca. 10% des Uploads, jetzt sind es ca. 20%.

Haftungstechnisch sehe ich nicht das Problem, weil ja jeder sich mit seinen Zugangsdaten bei der Uni identifiziert und eine öffentliche IP-Adresse besorgt, aber die Performance leidet.


Eine F!B 7390 und ein Windows-Server 2008 hinter einer F!B 7170 fungieren u.a. als Router, VOIP-Gateway (und auch noch vpn-Router zwischen zwei Häusern, die zukünftig vernetzt werden sollen) ins KabelBW-Netz. Darüber ist dann auch die Einschränkung auf die vpn-Ports sowie die Priorisierung von VOIP möglich. Ich bin da flexibel die Hardware umzustellen, wenn es notwendig wäre.
Ich sehe dort die aktuelle Übertragungsgeschwindigkeit und auch die Trafficmenge in Up- und Download aufgeteilt. Und abends kommt es schon über längere Zeit vor, dass die vollen 32 Mbit/s Download ausgenutzt werden. Der Upload ist eigentlich selten voll ausgenutzt.


Ich habe insgesamt auch P2P im Verdacht, wobei ich finde, dass dazu der Upload etwas gering ist.

Ich denke nicht, dass das uni-vpn oder der Router das Problem sind, denn bei speedtests bekomme ich im Normalfall die volle Geschwindigkeit. Das vpn zwischen den Häusern wird nur sehr wenig genutzt.


Es geht mir eher darum, P2P zu drosseln und den weitestgehend normalen Internetverkehr über Port 80 zu priorisieren. Das funktioniert aber über die Fritz!Box nicht, da jeder User ja einen verschlüsselten vpn-Tunnel zur Uni aufbaut. Aus dem gleichen Grund würde auch ein Proxy mit Cache vermutlich nicht funktionieren, richtig?
Weiß jemand von Euch, ob man im IIS des Windows-Server den DHCP-Clients (ggf. über IP-Adressen-Reservierungen) eine Mindestbandbreite zuordnen kann? Damit wäre schon mal etwas geholfen.

Und noch eine Frage:
Wenn alle User eine vpn-Verbindung zur Uni herstellen und ein User aber über diesen vpn-Tunnel bspw. einen Downloadbeschleuniger oder ein P2P-Netzwerk mit einer hohen Anzahl von Verbindungen benutzt: Registriert der (NAT)-Router das dann als eine Verbindung oder auch als mehrere? Wenn er es nur als eine Verbindung interpretiert, würden doch sowieso alle gleich behandelt, oder nicht?


Vielen Dank im Voraus!

Content-ID: 177285

Url: https://administrator.de/forum/trafficmenge-reduzierung-bei-vpn-passthrough-moeglich-177285.html

Ausgedruckt am: 26.12.2024 um 15:12 Uhr

tikayevent
tikayevent 06.12.2011 um 00:53:54 Uhr
Goto Top
Du hast keinerlei Möglichkeit, den Traffic innerhalb des VPN-Tunnels zu sehen, geschweige denn zu manipulieren. Für sich sind nur die Tunnel sichtbar. Caching ist ebenfalls nicht möglich, weil du ja nicht siehst, was du cachen könntest.

Die Frage hast du ja schon in einem anderen Forum gestellt, aber so wie ich gesehen habe, sind die Antworten ziemlich bescheiden gewesen.

Die Bandbreitenbeschränkung ist immer eine Sache der Technik darunter. Bei einer FortiGate könntest du relativ einfach entsprechende per-IP oder pro Protokoll Bandbreitenregeln anlegen, mittels Linux wirds sicher auch gehen, aber es kommt halt immer darauf an, wie gut die Technik im Hintergrund umgesetzt ist. Ebenso kommt hinzu, dass je restriktiver die Beschränkungen sind, umso mehr geht es auf die CPU des Routers.

Schau dir mal m0n0wall bzw. pfSense an, in Verbindung mit brauchbarer Hardware kann man daraus einen leistungsfähigen Router bauen, welcher in jedem Fall auch Bandbreitenbeschränkungen kann. Irgendwann hab ich damit mal rumgespiel und z.B. einen Computer anhand der IP auf ISDN-Geschwindigkeit ausgebremst.

Alternativ könntest du es auch mit einem LANCOM-Router umsetzen, in Verbindung mit den von LANCOM zur Verfügung gestellten Anleitungen ist es hier ebenfalls ruckzuck umgesetzt.

Aber mal ne ganz doofe Frage, was hat in deinem Gedankengang IIS mit DHCP zu tun? IIS ist ein Webserver zum Ausliefern von Webseiten.
dog
dog 06.12.2011 um 01:37:53 Uhr
Goto Top
1. Frage: Wie ist Eure Erfahrung? Ist das normal oder erstaunlich viel Traffic?

Das hängt ganz von der Zielgruppe ab.
Die Telekom meint 10GB/Monat wären "viel" und ich kenne einen Anbieter, der kündigt bei 60GB/Monat.
Da sich 20 Studenten aber nebenberuflich mit Filmen saugen befassen ist der Verkehr natürlich höher.

Generell sagen wir z.B. bei der Mischkalkulation 1:20 (also 10 Mbit Kapazität würden wir an 20 User verkaufen).
Das ist noch ein recht netter Wert.

Wie wäre es, wenn du den Leuten einfach mal anbietest, sie sollen das zwischen 3-8 Uhr machen, damit sie die anderen nicht stören?

2. Frage: Gibt es eine Möglichkeit durch einen Cache bspw. in einem Proxy Traffic zu sparen?

Nein, siehe Antwort von tikayevent

3. Frage: Welche Möglichkeiten der Priorisierung seht Ihr ggf.?

VoIP könnte man priorisieren.
Man könnte auch bei besseren Routern mit Burst-Raten arbeiten, so dass die ersten paar Sekunden schnell sind und es danach gedrosselt wird.
Auf normales Surfen hat das dann keinen Einfluss, nur auf große Downloads.
Du könntest natürlich auch einfach pauschal die Bandbreite pro User beschränken (z.B. auf 12 Mbit)

4. Frage: Wie verhält sich bei Euch das Verhältnis von Upload zu Download?

Also bei meinen "Kunden" ist das Verhältnis im Schnitt 1:30 - 1:40.
Sprich für 40MB Download kommt 1MB Upload.
Der Anteil vom Upload am Gesamttraffic ist also ca. 4%

Bei so hohen UL-Raten solltest du sicher gehen, dass nicht bald die Polizei vor der Tür steht.
Der-Phil
Der-Phil 06.12.2011 um 10:04:07 Uhr
Goto Top
Hallo,

Du hast nur eine einzige Möglichkeit:
Du kannst verhindern, dass sich einzelne User die ganze Bandbreite klauen indem Du z.B. sagst, dass jeder der 20 Rechner sich nur jeweils maximal 1/5 der Bandbreite nehmen kann.

Dann kapiert der User, dass er seinen P2P-Traffic eben im Rahmen halten muss, wenn er vernünftig surfen will face-smile

Sonst: Siehe tikayevent
Ich habe in der Firma übrigens ca. 50:50 Upload:Download. Du siehst: Extrem individuell.

Phil
Dirmhirn
Dirmhirn 06.12.2011 um 14:17:29 Uhr
Goto Top
Hi!

ihr könntet einen zentralen Fileserver für Filme & Co anlegen face-wink

sg Dirm
jojoaction
jojoaction 06.12.2011 um 23:30:00 Uhr
Goto Top
Vielen Dank für die Antworten!
Wie man wahrscheinlich merkt, verwalte ich das Netzwerk in dem Wohnheim nicht hauptberuflich und habe das auch nicht gelernt.
Ich habe den Begriff „IIS“ falsch benutzt. Ich meinte „Routing und RAS“. Ist aber alles im „Server Manager“.


Wenn ich unter FortiGate, m0n0wall oder pfSense google, stoße ich auch auf fli4l. Das habe ich schon öfter in anderen Netzwerken benutzt und das scheint das auch zu unterstützen:
http://www.fli4l.de/fileadmin/doc/deutsch/html/fli4l-3.6.1/node43.html
Option: „QOS_CLASS_x_MINBANDWIDTH“
 Nachteil: Ich muss jeden Client manuell eintragen und wenn sich die Anzahl ändert, muss ich die Mindestbandbreite neu festlegen / umkonfigurieren.
 Etwas Arbeit würde es ggf. sparen, wenn ich nicht die maximale Bandbreite genau anteilig verteile, sondern wirklich nur eine Mindestbandbreite – was ist heutzutage die absolute Minimalbandbreite zum flüssigen Surfen?
 Können die von Euch genannten Firewalls das dynamisch in Abhängigkeit der grade angemeldeten Anzahl von Clients (so detailliert bin ich zugegeben auf den Homepages nicht durchgedrungen)?

VOIP ist bisher über die Fritzbox schon priorisiert, da diese eine Priorisierung port-basiert anbietet und da VOIP nicht über das vpn läuft und das würde ja auch mit fli4l zukünftig funktionieren.

Mit Burst-Raten wäre natürlich eine Möglichkeit, aber fände ich dann wiederum auch schade, wenn jemand nachts etwas zügig herunterladen möchte und er dann gebremst wird.
Die Option „Acknowledgement-Pakete“ finde ich im fli4l ganz clever:
„Wir müssen also dafür sorgen, daß die Bestätigungspakete auf die Überholspur kommen, so daß sie in Windeseile an allen ``normalen'' Paketen vorbeihuschen, damit sie auch noch rechtzeitig beim Datenversender ankommen.“
=> das sollte doch auch mit dem vpn-Tunnel funktionieren, oder? Gibt es dadurch auch Nachteile? Sonst wäre das doch sicherlich standardmäßig in allen Routern implementiert, oder nicht?


Die andere Idee allen nicht die maximale Geschwindigkeit zur Verfügung zu stellen, sondern pauschal die maximale Bandbreite pro User zu beschränken wäre sogar über die Switches möglich, aber auch schade (wie bei Burst-Raten).


Danke für die Hinweise zum Traffic. Im Prinzip habe ich da aber keinen Einfluss drauf, wer wie viel herunter lädt.
Durch die Lösung mit der vpn-Einwahl in das Universitätsnetzwerk jedes Users habe ich mir eigentlich erhofft, dass ich vor Polizeibesuchen keine Angst haben müsste. Ist das nicht richtig? Jeder User bekommt bei der Einwahl eine öffentliche IP-Adresse aus dem Adressbereich der Universität zugewiesen.


Hat jemand diesbezüglich Erfahrungen mit fli4l?
Zugegeben könnte ich den fli4l auch noch für einige andere Dinge gut gebrauchen.
Der-Phil
Der-Phil 07.12.2011 um 09:23:42 Uhr
Goto Top
Hallo,

so dynamisch, wie Du dir das vorstellst ist das (praktisch) nicht möglich. Dein Router weiß nicht, wie viele Rechner online sind und ich kenne auch kein Produkt, das das "out-of-the-box" macht.

Fli4l ist prima für Deine Zwecke. Genau wie jede andere Linux-Distribution oder auch ein WRT-Router. Sogar ein 60 Euro WRT54GL müsste das Benötigte vernünftig hinbekommen. Wenn Du noch irgendeine alte Hardware rumstehen hast, kannst Du das auch schnell von "Hand" mit IPTables direkt machen. Ich würde einfach für den kompletten DHCP-Bereich das QoS konfigurieren. Dann ist es egal, wenn später Wechsel vorgenommen werden oder User dazu kommen.

Du musst bei QoS mit vielen Usern eh immer "überbuchen". Du musst ja davon ausgehen, dass die meisten User gerade NICHT brutal viel herunterladen, sonst hast Du eh ein Problem. Schon wenn ein User maximal 1/3 der Bandbreite nehmen kann, wird das subjektiv deutlich besser, als jetzt.

@polizeibesuch:
Das ist immer so die Frage, wie die Uni auf eine Anzeige reagiert. Erste Anlaufstelle der Polizei/GVU ist die Uni. Wenn diese dann die Daten herausgibt (wie andere Provider), steht die Polizei doch wieder da. Für Dich ist gut, dass der User feststeht und nicht das ganze Wohnheim bzw. der DSL-Anschluss unter Verdacht steht durch die Authentifizierung. Der User ist dran, Du nicht.

Gruß
Phil