VOIP über VPN

Mitglied: Luci0815

Luci0815 (Level 2) - Jetzt verbinden

05.02.2021 um 11:44 Uhr, 892 Aufrufe, 7 Kommentare

Moin Dudes,

unsere MA verbinden sich über IPSec VPN mit der Firma (Vollzugriff) und telefonieren über Swyx/Netphone, also Softphone. Wie sieht es hier mit Priorisierung aus, die VOIP-Pakete werden doch in IPSec-Pakete verpackt, DSCP bringt hier dann gar nix (?), zumindest für die Strecke vom Client zur Firma? Man kann aber innerhalb des Tunnels priorisieren (der VPN-Client ist NCP). Jemand Erfahrung damit?

Merci
Mitglied: aqui
05.02.2021, aktualisiert um 12:12 Uhr
Innerhalb es Tunnel ist ja schon priorisiert, denn deine VoIP Frames der MAs darin haben ganz sicher ein Layer 3 DSCP Setting ! Wirst du dir sicher mit dem Wireshark auch schon einmal angesehen haben ?! Hier im Beispiel das auch für Voice typische ToS 48
dscp - Klicke auf das Bild, um es zu vergrößern
Das Problem ist aber das der Router in den Tunnel "reinsehen" muss um diese DHCP Werte zu lesen. Das können logischerweise nur die Tunnelendpoint Firewalls/Router, denn alle Beteiligten die dazwischen liegen können das wegen der Verschlüsselung logischerweise nicht. Welcher VPN Client ist dabei unerheblich.
Die VPN Pakete selber zu priorisieren macht aus 2 Gründen wenig Sinn:
  • Es würde dann jeglicher VPN Traffic priorisiert also auch solcher ohne Voice Content
  • Am Providernetz ist so oder so mit aller Priorisierung Schluss, denn Provider resetten diese Bits zwangsweise alle auf 0 sowohl im L2 als auch L3 Mode. Logisch, denn sonst könnte man sich einen Vorteil in seinem Netz verschaffen ohne dafür zu zahlen.
Das sind also schon mal deine Rahmenbedingungen. ;-) face-wink
Bitte warten ..
Mitglied: Luci0815
05.02.2021 um 12:22 Uhr
Alles Klar. Swyx markiert übrigens mit EF 46 / 0x2E: https://service.swyx.net/hc/de/articles/360000007840-Unterst%C3%BCtzung- ...

Was mich interessieren würde, ist, ob jemand praktische Erfahrung (sprich Verbesserung) mit der QoS-Einstellung im NCP-Client gesammelt hat.
Bitte warten ..
Mitglied: aqui
05.02.2021 um 12:41 Uhr
Auch wenn du im NCP Client die VPN Frames priorisierst besagt das noch nichts wenn diese MA mobil unterwegs sind. Der lokale Router (was auch immer das ist) der ihren VPN Traffic dann ins Internet bringt muss zwangsweise dann ein DSCP Honoring machen, sprich also überhaupt die ToS Bits lesen können und je nach lokaler QoS Policy entscheiden was er damit bzw. dem spezifischen ToS Wert macht (es gibt derer 64). Alle billigen Consumer Router, teathering Smartphones und auch sonstige Router/Firewalls ignorieren das wenn dort keine solche Policy definiert ist. Es wird dann also vermutlich egal sein was du da einstellst weil in den meisten Fällen einer mobilen Infrastruktur diese Settings eh ignoriert werden. Und wie bereits gesagt...spätestens am Internet Port dieses Routers ist dann so oder so Schluss mit jeglichem QoS weil der Provider das gleich abschneidet.
Nur das du das auf dem Radar hast bei deinen Überlegungen ! ;-) face-wink
Bitte warten ..
Mitglied: Luci0815
05.02.2021, aktualisiert um 13:12 Uhr
Das ist schon klar. Hier geht es um die Priorisierung innerhalb des Tunnels. Beispiel: Ein stabiler VPN-Tunnel mit 20 Mbit/s. MA telefoniert und fängt an, Dateien hin und her zu kopieren (vom Laptop oder auf den Laptop). Der Kopiervorgang soll aber nicht die Bandbreite vom Voice-Traffic klauen...
Bitte warten ..
Mitglied: aqui
05.02.2021, aktualisiert um 14:25 Uhr
Das ist dann eine Herausforderung und ein Problem des Task Schedulers im Client selber. Hat dann aber eher weniger was mit dem Netzwerk an sich zu tun.
Da muss der Client Rechner dann wissen und entscheiden was er von welcher Applikation bevorzugen soll zudem muss er im Congestion Fall wissen ob Voice Daten übertragen werden oder nicht um die Bandbreite zu reservieren. Und dann ist ein sehr entscheidender Faktor ob der NCP VPN Client im Split Tunneling oder im Redirect Mode rennt. Beim Redirect wird das doppelt schwierig weil ja der gesamte Datentraffic des Clients dann in den Tunnel wandert und nicht nur Firmen relevanter Traffic wie beim Split Tunneling.
Das erfordert recht tiefe Eingriffe in den Task Scheduler des jeweiligen Betriebssystemes und es ist per se fraglich ob der NCP Client sowas allein leisten kann als externe Software die niemals so tief im System verankert ist wie der bordeigene VPN Client. Z.B. ein Grund mehr um bordeigene VPN Clients zu bevorzugen.
Bitte warten ..
Mitglied: Luci0815
05.02.2021, aktualisiert um 14:54 Uhr
Der NCP-Client installiert eigene Netzwerk-Adapter (der bordeigene Client macht auch nix anderes) und tunnelt den gesamten Traffic. Ich denke, die QoS-Option gibt es nicht umsonst in dem Client. Die Möglichkeiten vom bordeigenen VPN sind begrenzt - kann z.B. kein XAUTH. Bei uns werden Laptops hin und her gereicht, und da ist es wichtig zu wissen, wer sich wann angemeldet hat.
Bitte warten ..
Mitglied: aqui
05.02.2021 um 15:04 Uhr
Der NCP-Client installiert eigene Netzwerk-Adapter
Das macht jeder VPN Client so...
und tunnelt den gesamten Traffic.
Gateway Redirect also und kein übliches Split Tunneling. OK, das hat dann in der Tat den Vorteil das der Client dann vermutlich Traffic unterscheiden kann. Man muss ihm dann nur Voice Traffic entsprechend klassifizieren lassen, da hast du Recht. Wenn der NCP Client das kann klappts natürlich. ;-) face-wink
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Unterschiedliche IP-Adressbereiche im Netzwerk
achkleinVor 1 TagFrageLAN, WAN, Wireless17 Kommentare

Hallo, ich stehe vor einem Problem mit der WLAN-Verbindung zum Router (Fritzbox Cable 6490). Das verbundene Notebook hat die Adresse 192.168.0.164, Gateway ist 192.168.0.149: ...

Off Topic
Microsoft und der (leidige) Datenschutz
Franz-Josef-IIVor 1 TagAllgemeinOff Topic18 Kommentare

Hello Ich möchte vorausschicken, daß ich rein prinzipiell nichts gegen Microsoft habe, eher gegen die US-amerikanische Politik 😊 Microsoft bietet die Datenverarbeitung in der ...

Off Topic
32 bit Problem
brammerVor 1 TagAllgemeinOff Topic9 Kommentare

Hallo, also das ist mal ein Problem das ich auch haben möchte eine Aktie ist mehr Wert als das die Börsensoftware darstellen kann. brammer

Hardware
Thin- oder Zero-Client für RDP und Dual-Monitor im LAN gesucht
FestplattenaufzieherVor 1 TagFrageHardware9 Kommentare

Hallo, Kurzfassung meiner Frage: Ich suche Thin/Zero-Clients (4 Stück) mit Dual-Monitor-Unterstützung für den RDP-Zugriff auf PCs in einem LAN - idealerweise lautlos und relativ ...

Windows Server
Lizenzen für Virtualisierungshost
TakworianVor 11 StundenFrageWindows Server15 Kommentare

Hallo, ich werde demnächst einen HA-Cluster aus 3 x HP DL580 in Betrieb nehmen. Der Cluster wird unter Proxmox betrieben und es sollen diverse ...

Windows 10
Windows 10 2021-04 end of life?
gelöst Paedi12Vor 1 TagFrageWindows 103 Kommentare

Hi Leute! Ich bin gerade auf der Suche, wie lange die Windows Version 2021-04 unterstützt wird. Kann aber nichts finden. Hat jemand eine Ahnung, ...

Switche und Hubs
Netgear Switch Problem bei VLAN Konfiguration
gelöst meltersVor 1 TagFrageSwitche und Hubs15 Kommentare

Hallo, ich habe einen Netgear XS716T Switch zum Testen in Betrieb genommen, komme aber mit der VLAN Konfiguration nicht so ganz klar. Bislang habe ...

Router & Routing
Suche Tipps für Selfmade-Load-Balancing-Router auf HP MicroServer Gen10+
gelöst MagicChris86Vor 1 TagFrageRouter & Routing7 Kommentare

Hi Leute, ich habe einen HP MicroServer Gen10+ Performance übrig, der bei einer Kundin rausgeflogen ist, weil sie mehr Power brauchte für Desktopvirtualisierung für ...