StartseiteComputerHeimnetzwerk

Kommentare

Heimnetzwerk — 2 Kommentare

  1. Hoi Daniel

    ich würde beim aktuellen Layout bleiben. Um gute VoIP Qualität zu gewährleisten, ist der direkteste Anschluss immer der beste (und die FritzBox hat zumindest das Shaping/QoS fürs VoIP am besten im Griff).

    Was du dir auch noch bewusst sein musst betreffend Shaping: Wirklich beeinflussen kannst du generell nur ausgehenden Traffic (egal, ob die Verbindung von innen nach aussen oder von extern zu dir hergestellt wurde, relevant ist dann nur die Richtung des Datentransfers). Denn nur ausgehender Traffic kann (ob bei FritzBox oder Linux Firewall) auf der Firewall ausgebremst (zurückgehalten) werden und in genau der gewünschten Geschwindigkeit und Priorisierung in Richtung Kabelmodem losgelassen werden. Eingehender Traffic kommt einfach mal so schnell wie möglich bis zum Shaping Gerät (Fritbox oder Linux) und kann dort höchstens noch durch gezielte Paket Drops künstlich heruntergebremst werden. Wir haben daher auf den eingehenden Traffic keinen wirklichen Einfluss auf die QoS/Priorisierung.

    Auf der FritzBox müsste somit vorallem der Uplink Speed angegeben werden können (z.B. bei einem 25000/1500 Abo würdest du vielleicht 1450 als Uplink speed konfigurieren (damit der Ausgehende Firewall Verkehr auf jeden Fall ein klein wenig langsamer ist als der real zur Verfügung stehende Link (um zu verhindern, dass es dann nicht doch beim Modem nochmals zum stauen kommt –> QoS Kontrolle wäre dahin).

    wenn das Shaping richtig eingestellt ist (sprich: eben der Uplink speed auf dem Shaping Gerät sicher leicht tiefer ist als physisch verfügbar), solltest du den erwähnten Effekt nicht haben. Sprich voller Upload dürfte den Download nicht gross ausbremsen und umgekehrt.
    Du kannst es selber tunen/ermitteln, indem du jeweils während eines vollen Up- bzw. Downloads ein ping ausführst und die Shaping Werte solange nach unten korrigierst, bis die Antwortzeiten der Pings auch trotz laufendem Up- oder Download noch OK sind.

    Um die Sicherheit zu erhöhen, kannst du folgendes beachten:
    – Überlege dir, ob du wirklich SSH nach aussen offen haben willst. SSH/Shell Zugriff ermöglich wie korrekt bemerkt auch ohne Probleme den Zugriff aufs restliche Netz und erweiterten Zugriff auf den Server. Bietest du stattdessen nur FTP (ohne Shell: d.h. die User erhalten als Shell /bin/false (siehe /etc/passwd)) an, sind zwar die übertragenen Daten unverschlüsselt (je nach Daten dürfte dies nur untergeordnet von Bedeutung sein), dafür kann der Server nicht als Hop in dein Netz missbraucht werden (empfehle vsftpd mit chroot=~ (sprich: jeder User kann sein persönliches Home-Dir nicht verlassen)).

    Gruss
    Martin

  2. Vielen Dank, Martin

    Die Sache mit dem Traffic Shaping ist doch die: Ankommende TCP-Datenpakete müssen vom TCP/IP-Stack quittiert werden. Das Quittungspaket geht an den Absender zurück und enthält die Information, ob das gesendete Paket fehlerfrei angekommen ist oder nicht. Damit ein von mir veranlasster Download (z.b. beim Browsen) flüssig hereinkommt, müssen diese Quittungspakete rasch und ungehindert über den Upstream-Kanal fliessen können. Wenn nun gleichzeitig ein FTP-Upload die gesamte Upstream-Übertragungskapazität belegt, dann gehen die Quittungspakete nicht sofort los, sondern müssen jeweils ein bisschen warten, bis im FTP-Datenstrom die nächste Lücke kommt. Die für dieses Warten benötigte Zeit hängt davon ab, wie gross die FTP-Datenpakete sind, und wie gross der Sendepuffer ist, der vom TCP/IP-Stack benutzt wird. Die Quittungspakete selber sind klein (nur wenige dutzend Bytes), die FTP-Datenpakete so gross wie möglich (normalerweise im Bereich 1500 Bytes). Die Grösse des Sendepuffers ist mir grade nicht bekannt. Aber jedenfalls führt dies dazu, dass bei gleichzeitig laufendem FTP-Upload ein HTTP-Download nur stockend hereinkommt, obwohl die Downstream-Datenrate bei weitem nicht voll ausgenutzt wird.

    Darum ist Traffic Shaping eminent wichtig, nicht nur für VoIP, sondern auch dann, wenn damit zu rechnen ist, dass die Leitung nicht nur von einem selbst benutzt wird. Deshalb werde ich, sobald ich dazu komme, mir die Zeit dafür zu nehmen, mein Heimnetzwerk in Richtung Variante 2 weiterentwickeln.

    Gruss
    — Daniel

css.php