EOIP туннель и SMB

Тема в разделе "Маршрутизация", создана пользователем felix987, 9 мар 2019.

  1. felix987

    felix987 Новый участник

    Добрый день. имеется следующая конфигурация:
    С одной стороны CCR1009, с другой х86 Микротик в KVM.
    Канал 1Gbit/sec, latency - 60мс.
    Статика с обеих сторон, поднят EOIP туннель+IPSec.
    Очевидная проблема - скорость в туннеле. Bandwidth тест udp в туннеле показывает адекватные значения, но по TCP - 16-20Mbit. так же и iperf - 25-30Mbit. Про размер окна знаю, но iperf -w ситуацию не меняет. Да и в последних версиях win его руками вроде как не укажешь. Для начала хочется понять, это проблема win или настройки mikrotik. MTU в туннеле автоматический. на бридже установлен руками 1500.
    Так как стояла изначально задача обеспечить л2 связность между двумя площадками, для использования DFSR, SMB и прочих радостей, сейчас все выглядит очень печально.
    Может кто сталкивался с подобной проблемой, буду благодарен за подсказки.
     
  2. Илья Князев

    Илья Князев Администратор Команда форума

    1. Какая нагрузка на CPU на обоих роутерах?
    2. Какой тип шифрования IPSec используете?
    3. Поддерживается ли на KVM AES-NI? (Иногда его надо включить в BIOS сервера)
    4. Если п.3 да, то совпадают ли типы шифрования чтобы включилось аппаратное ускорение?
    По типам смотрите здесь: https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_acceleration
     
  3. felix987

    felix987 Новый участник

    1. Нагрузка в момент обмена трафиком в туннеле - 10-15% на CCR'е и 10-20% на х86
    2. AES CBC 256 SHA1
    3-4.К BIOS сервера доступа к сожалению нет, а все что доступно на Proxmox на данный момент, через редактирование конфигов ВМ не дает результата. Насколько я понимаю, должен гореть флаг Hardware AEAD на микротике в IPSec SAs?

    Но, наверное, стоит отметить, что и без IPSec проверяли, результат такой же...
     
  4. Илья Князев

    Илья Князев Администратор Команда форума

    А сниффинг что показывает? Нет ли ретрансмиттов?
     
  5. felix987

    felix987 Новый участник

    Если захватывать с роутера, там сплошные ретрансмиты.
    Если захватывать с клиента, на вид вроде бы все ок. Опять же смущает размер окна tcp
    Илья, если нужно, выложу pcap файл.
     

    Вложения:

    Последнее редактирование: 13 апр 2019
  6. Илья Князев

    Илья Князев Администратор Команда форума

    А без IPSec так же?