Bandbreitenbeschränkung für WSUS

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
pmgadm
Beiträge: 4
Registriert: 10 Aug 2022, 07:41

Bandbreitenbeschränkung für WSUS

Beitrag von pmgadm »

Hallo und guten Morgen!

Ich kämpfe hier mit einer Regel, um die Bendbreitennutzung des WSUS (Updates zu den Zweigstellen) einzuschränken.

Aufbau:
Hauptstelle mit einem LANCOM 1906 (16M SDSL), Standort des Master-WSUS
1 Zweigstelle mit LANCOM 1906 (2M sym, kommt aber demnächst eine weitere Leitung .. wenn die Telekom ausbaut), Standort eines replizierenden WSUS
1 Zweigstelle mit LANCOM 1783 (10M SDSL)
1 Zweigstelle mit LANCOM 1790 (10M SDSL)
1 Zweigstelle mit LANCOM 1790 (50/4M ADSL)

Da die Leitungen bei Freigabe von Updates (wir verteilen auch eingene Software per WSUS) oft "verstopfen", versuche ich seit Wochen, da eine Einschränkung der Bandbreiten einzurichten. Leider klappt das nicht so, wie ich das mir vorstelle, und daher meine Frage in die Runde, ob und wie das jemand gelöst hat.

Auf allen Geräten gibts das Objekt "WSUS" mit der IP des Master-WSUS der Haupstelle, sowie an jedem Standort das Objekt "WSUS-Client" mit den Adressbereich der Clients (Komplettes Netzwerk) bzw. die Zweigstelle mit dem Replikats-WSUS hat da halt nur den WSUS drin (per GPO werden die Zugriffe der Clients zum WSUS geregelt, das funzt auch). In der Haupstelle noch das Objekt "WSUS_CLIENT_REMOTE" mit allen Netzen an den Remotestandorten.
Als Dienst-Objekt habe ich den Eintrag "WSUS_TCP853x" mit den TCP-Ports 8530-8531 (Kommunikationsports des WSUS) angelegt, und in deer Hauptstelle das Aktions-Objekt "MAX_1024K_OUT" (1024kbit/s global, nur VPN, verwerfen, SNMP), in den Zweigstellen mit 256k.

Die Regeln und Objekte der Hauptstelle als Script (ich hoffe, ich habe alle erwischt ...):

Code: Alles auswählen

cd /Setup/IP-Router/Firewall/Actions
add  "MAX_1024KBITS_OUT"              {Description}  "%Lgtds1024 @v %D %N"
cd /Setup/IP-Router/Firewall/Objects 
add  "WSUS_CLIENT_REMOTE0"            {Description}  "%A192.168.11.0 %M255.255.255.0 %A192.168.12.0 %M255.255.255.0"
add  "WSUS_CLIENT_REMOTE1"            {Description}  "%A192.168.13.0 %M255.255.255.0 %A192.168.14.0 %M255.255.255.0"
add  "WSUS_CLIENT_REMOTE2"            {Description}  "%A10.100.30.0 %M255.255.255.0 %A10.110.30.0 %M255.255.255.0"
add  "WSUS_CLIENT_REMOTE3"            {Description}  "%A10.120.30.0 %M255.255.255.0 %A10.130.30.0 %M255.255.255.0"
add  "WSUS_CLIENT_REMOTE4"            {Description}  "WSUS_CLIENT_REMOTE0 WSUS_CLIENT_REMOTE1 WSUS_CLIENT_REMOTE2"
add  "WSUS_CLIENT_REMOTE5"            {Description}  "WSUS_CLIENT_REMOTE3"
add  "WSUS_CLIENT_REMOTE"             {Description}  "WSUS_CLIENT_REMOTE4 WSUS_CLIENT_REMOTE5"
add  "WSUS"                           {Description}  "%A192.168.10.199"
cd /Setup/IP-Router/Firewall/Rules 
add  "MAX-BW-WSUS_OUT"                {Prot.}  "ANY"      {Source}  "WSUS_TCP853X WSUS"                      {Destination}  "WSUS_CLIENT_REMOTE"                     {Action}  "MAX_1024KBITS_OUT"                      {LB-Policy}  ""                               {LB-Switchover}  No            {Linked}  No         {Prio}  50    {Firewall-Rule}  Yes           {VPN-Rule}  No        {Stateful}  Yes      {Src-Tag}  0         {Rtg-tag}  0       {Comment}  ""
Ich hoffe, ich habe nichts vergessen...
Leider greifen meine Reglen nicht so, wie sie sollen (bzw wie ich das gerne hätte).

Wo liegt mein Denkfehler?
Dr.Einstein
Beiträge: 2466
Registriert: 12 Jan 2010, 14:10

Re: Bandbreitenbeschränkung für WSUS

Beitrag von Dr.Einstein »

Hey,

die Clients fragen aktiv den WSUS Server an, ob es neue Pakete gibt. Der WSUS Dienst selbst baut nicht aktiv Verbindungen zu den Clients auf, sondern wartet. Dies musst du beim Erstellen der Firewallregeln bedenken.

Der Lancom arbeitet mit Stateful Inspection, d.h. nur der Verbindungsaufbau ist relevant. Dementsprechend ist bei deiner gezeigten Firewallregel die Quelle / Ziel falsch. Quelle sind die Clients (oder ANY) wichtig Port bleibt hier ANY, Ziel ist der WSUS Server + optionale Portangabe. Damit sollte es klappen,

Gruß Dr.Einstein
pmgadm
Beiträge: 4
Registriert: 10 Aug 2022, 07:41

Re: Bandbreitenbeschränkung für WSUS

Beitrag von pmgadm »

Hallo Dr. Einstein.

Damit ich das richtig zusammenstelle:

Für den ausgehenden Verkehr in der Haupstelle die "MAX_256k_OUT" (Es soll also nicht mehr als 256kbit/s zu den Zweigstellen geschickt werden), Station Ziel den "WSUS" und beim Port Ziel den "WSUS_TCP853x"?

Und bei den Zweigstellen selbiges?
Dr.Einstein
Beiträge: 2466
Registriert: 12 Jan 2010, 14:10

Re: Bandbreitenbeschränkung für WSUS

Beitrag von Dr.Einstein »

Korrekt. Nur bei dem Actionsobjekt musst du aufpassen. Bei dem einen ist es ein Upload, aus Sicht der Außenlokationen ein Download. Entsprechend als das Actionsobjekt beschreiben.
pmgadm
Beiträge: 4
Registriert: 10 Aug 2022, 07:41

Re: Bandbreitenbeschränkung für WSUS

Beitrag von pmgadm »

Alles klar, danke, ich werde das mal so einstellen:
Hauptstelle:
Regel: "MAX_BW_WSUS_OUT"
Aktion: "MAX_255KBITS_OUT" (VPN-Route, 256kbit/s, global, verwerfen,SNMP)
Verbindunsziel: "WSUS" (Server-IP)
DIenste: WSUS_TCP853x"(tcp 8530-8531)

Nebenstelle:
Regel: "MAX_BW_WSUS_IN"
Aktion: "MAX_255KBITS_IN" (VPN-Route, 256kbit/s, global, verwerfen,SNMP)
Verbindunsziel: "WSUS" (Server-IP)
DIenste: WSUS_TCP853x"(tcp 8530-8531)
GrandDixence
Beiträge: 918
Registriert: 19 Aug 2014, 22:41

Re: Bandbreitenbeschränkung für WSUS

Beitrag von GrandDixence »

Das Thema "Bandbreitenbeschränkung" wurde unter:
fragen-zum-thema-firewall-f15/bandbreit ... tml#p98385
ausführlich behandelt. Siehe auch:
fragen-zum-thema-firewall-f15/firewall- ... 19344.html
pmgadm
Beiträge: 4
Registriert: 10 Aug 2022, 07:41

Re: Bandbreitenbeschränkung für WSUS

Beitrag von pmgadm »

Hallo,

@Dr Einstein: funktioniert, danke

@GrandDixence: Den ersten Beitrag hatte ich gefunden, aber da ging es ums QoS (die garantierte Bandbreite), daher hatte ich das nicht bis zum Schliuß gelesen ..
Danke, ich hab ein Favorit mehr .. werde mir das alles mal zu Gemüte führen.
Antworten

Zurück zu „Fragen zum Thema Firewall“