Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz

Limitování FASP

Návody a problémy s konfigurací.
MKey3
Příspěvky: 20
Registrován: 16 years ago

Limitování FASP

Příspěvekod MKey3 » 4 years ago

Ahojte,
neřešil někdo omezení provozu FASP (https://en.wikipedia.org/wiki/Fast_and_Secure_Protocol)?
Máme připojené kino, které má linku 50Mbit.
Když stahují film pravděpodobně tímto protokolem (port UDP 33001), na řídící router přitéká datový tok 100Mbit, z něj odtéká 50Mbit.
Evidentně si to nijak nevyjednává rychlost linky a zbytečně zahlcuje vstupní linku.
Děkuji za nápady.
0 x

Uživatelský avatar
sub_zero
Příspěvky: 1741
Registrován: 18 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:

Příspěvekod sub_zero » 4 years ago

Ahoj,

znamej fakt. Program se jmenuje Aspera :D
Bojujeme s tim dnes a denne. A distributori stale trvaji na tom, ze jedina cesta stahnout film je pres tohle. Vzdy nam to zarvalo 1Gbit linku na VPN koncentratoru.
Ja to poresil na paternim FortiGatu na L7, mozna by to umel i MK, ale netusim. Zkusim mrnout na ten pattern.
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák

PS: Ta fotka je stará, už mám +15kilo..

MKey3
Příspěvky: 20
Registrován: 16 years ago

Příspěvekod MKey3 » 4 years ago

A to jim to blokuješ úplně?
Tady https://www.theregister.co.uk/2015/10/01/aspera/ píšou, že by mělo stačit zablokovat ty UDP porty kolem 33001 a pak to přejde na TCP přenos.
Ale aktuálně jsem to zkusil a spojení se už nenaváže.
0 x

Uživatelský avatar
sub_zero
Příspěvky: 1741
Registrován: 18 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:

Příspěvekod sub_zero » 4 years ago

Nene, pouze to omezuju na aplikacni vrstve. Nejak to funguje. Nerikam, ze ten narust na WAN strane neni, ale paradoxne je jen neco okolo 20% a ne treba 80% jak bez toho shapingu.
Nicmene, uplne nej moznost je naucit je, sit u Asperu nastavit. Primo v nastaveni jde zadat max rychlost WAN linky a to funguje 100%.
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák

PS: Ta fotka je stará, už mám +15kilo..

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1635
Registrován: 18 years ago
antispam: Ano

Příspěvekod zdenek.svarc » 4 years ago

Ty filmy by měly mít okolo 120 GB. Když se Aspeře (patří pod IBM) nepodaří navázat FASP na UDP/TCP 33001, tak udělá fallback na HTTP a cucá těch 120 GB kultivovaně.

https://www.ibm.com/support/pages/fasp- ... ine-or-sdk
0 x

Uživatelský avatar
sub_zero
Příspěvky: 1741
Registrován: 18 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:

Příspěvekod sub_zero » 4 years ago

zdenek.svarc píše:Ty filmy by měly mít okolo 120 GB. Když se Aspeře (patří pod IBM) nepodaří navázat FASP na UDP/TCP 33001, tak udělá fallback na HTTP a cucá těch 120 GB kultivovaně.

https://www.ibm.com/support/pages/fasp- ... ine-or-sdk


Bohuzel to neni tak uplne pravda..resp. podari se to tak jednou z deseti pokusu. Jinak konci timeoutem.
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák

PS: Ta fotka je stará, už mám +15kilo..

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1635
Registrován: 18 years ago
antispam: Ano

Příspěvekod zdenek.svarc » 4 years ago

sub_zero píše:Bohuzel to neni tak uplne pravda..resp. podari se to tak jednou z deseti pokusu. Jinak konci timeoutem.


Ale timeoutem na HTTP nebo? Osobně bych fallback pro 120 GB soubory nedělal do HTTP, ale na decentralizovanej soukromej torrent.
0 x

Uživatelský avatar
sub_zero
Příspěvky: 1741
Registrován: 18 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:

Příspěvekod sub_zero » 4 years ago

zdenek.svarc píše:
sub_zero píše:Bohuzel to neni tak uplne pravda..resp. podari se to tak jednou z deseti pokusu. Jinak konci timeoutem.


Ale timeoutem na HTTP nebo? Osobně bych fallback pro 120 GB soubory nedělal do HTTP, ale na decentralizovanej soukromej torrent.


jj, na HTTP. Asi nedostane reply od jejich serveru. V logu nic konkretniho, jen pokusy na par jejich IP TCP/80 - timeout.
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák

PS: Ta fotka je stará, už mám +15kilo..

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1635
Registrován: 18 years ago
antispam: Ano

Příspěvekod zdenek.svarc » 4 years ago

Mimochodem, vypadá to že na na UDP 33001 to startuje a otevírá další vlákna na dalších portech. Co mu třeba jen zkusit ustřihnout porty >33001?

FASP's control port is TCP port 22 – the same port that SSH uses. For data transfer, it begins at UDP port 33001, which increments with each additional connection thread.
0 x

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1635
Registrován: 18 years ago
antispam: Ano

Příspěvekod zdenek.svarc » 4 years ago

Jen podotýkám, že vedeme čistě akademickou diskuzi (síťová neutralita).
0 x

Uživatelský avatar
sub_zero
Příspěvky: 1741
Registrován: 18 years ago
antispam: Ano
Bydliště: Olomouc
Kontaktovat uživatele:

Příspěvekod sub_zero » 4 years ago

zdenek.svarc píše:Jen podotýkám, že vedeme čistě akademickou diskuzi (síťová neutralita).


Něco jako síťová neutralita v korporátu přece nefunguje - běžný user nepotřebuje nic jinýho než HTTP/HTTPS, DNS, ICMP, AD, poštu + vybraní uživatelé mají povolenej i ten port pro Asperu + FTP na vybraný sajty.
SSH neexistuje, nepotřebují. Nicméně, zkusím ty PC přesunout do izolované VLANy a zkusit jim povolit vše.
Díky za tip.
0 x
Říkáš-li, že něco nejde, znamená to, že to neumíš.

Jirka Lazorčák

PS: Ta fotka je stará, už mám +15kilo..

KoZLiCeK
Příspěvky: 1201
Registrován: 16 years ago
Bydliště: CZ

Příspěvekod KoZLiCeK » 4 years ago

Moderator edit: offtopic
0 x

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1635
Registrován: 18 years ago
antispam: Ano

Příspěvekod zdenek.svarc » 4 years ago

V korporátu samozřejmě síťová neutralita není, protože sekurita. Měl jsme za to, že se celou dobu bavíme o operátorské přístupové síti.
0 x

MKey3
Příspěvky: 20
Registrován: 16 years ago

Příspěvekod MKey3 » 4 years ago

Ano, v mém případě se jedná o operátorskou síť.
Odstřihnutí portu 33001 při probíhajícím přenosu vede k ukončení spojení, na TCP se to v tomto případě nepřepne. Nevím, jak by se to zachovalo, kdyby to tyto porty nemělo dostupné při začátku stahování.
Zkusím se s dotyčným domluvit na korektním nastavení z jeho strany.
Děkuji všem za informace.
0 x

Uživatelský avatar
zdenek.svarc
Administrator
Příspěvky: 1635
Registrován: 18 years ago
antispam: Ano

Příspěvekod zdenek.svarc » 4 years ago

MKey3 píše:Ano, v mém případě se jedná o operátorskou síť.
Odstřihnutí portu 33001 při probíhajícím přenosu vede k ukončení spojení, na TCP se to v tomto případě nepřepne. Nevím, jak by se to zachovalo, kdyby to tyto porty nemělo dostupné při začátku stahování.
Zkusím se s dotyčným domluvit na korektním nastavení z jeho strany.
Děkuji všem za informace.

Jasně, zaříznutí 33001 může shodit celou komunikace, protože fallback to má implementováno třeba jen u inicializace downloadu, nikoliv v průběhu. Proto bych nechal 33001 funkční, aby FASP fungoval, ale zařízl bych UDP/TCP nad 33001, tzn. 33002 a případně i vyšší porty. Což by mělo způsobit, že FASP nebude spouštět další vlákna na vyšších portech než 33001 a nepojede do plných.
0 x