Разделить VPN или шейпить

Тема в разделе "Вопросы начинающих", создана пользователем Serg77, 22 фев 2017.

  1. Serg77

    Serg77 Новый участник

    Всех приветствую!
    Пытаюсь решить нетривиальную задачку, к которой пришел собственными шагами.
    Имею на Объекте 1:
    951U+751 (оба в связке Capsman)
    1 - своя - 192.168.1.0/24 (DHCP)
    2 - гостевая - 192.168.2.0/24 (DHCP)
    3 - VPN (l2tp IPsec) - 192.168.3.0/28 (DHCP)
    1 и 3 сети закрыты от гостевой.

    на Объекте 2:
    Свои сотрудники имеет доступ через VPN в 1 сеть (файлы + печать)
    Все отлично, спасибо Mikrotik и пользователям spw.
    Итак,
    Второй сотрудник Объекта 2 вынужден много (очень много) говорить с Объектом 1 по служебной необходимости.
    И вот ..., т.к мобильная и МГ очень дорого выходит, то поставил Asterisk в 1-ой сети за 951U-ым.
    Aster задействован только для SIP телефонии с Объектом 2.

    Столкнулся с тем, что иногда SIP начинает эхо слать, квакать и т.п. Снижаю нагрузку для VPN и телефония восстанавливается до приемлемого.

    В связи с этим два вопроса (может и дилетантские, но покоя не дают):
    1. каким правилом Firewall 951U (Главный) ограничить доступ к Asterisk (192.168.1.50) (5060, 5061 + голосовой диапазон, 22 и вебморда и т.п) всем сеткам и разрешить, только двум адресам: 192.168.1.2 (1) и 192.168.3.10 (VPN). Подозреваю, что кто-то умный из 1 и 3 сетки ломиться на астериск (возможно хочет пошаманить в своих интересах), поэтому хочу просто всех блокировать, дабы не переживать за это.
    2. Можно ли на 951U разделить VPN для балансировки нагрузки между инетом и SIP или каким образом зашейпить VPN, чтобы 192.168.3.10 (SIP) имел большую пропускную перед остальными IP из 3-й сетки.

    Благодарю откликнувшихся!
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    Нормальный QoS возможен только на стабильном канале (т.е. не через Интернет). Отсюда можно Simple Queue ограничить скорость всем кроме телефона, с расчетом что ему хватит.