Низкая скорость L2TP\IPSEC в одну сторону

Тема в разделе "Общие вопросы", создана пользователем guest55, 30 июн 2015.

  1. guest55

    guest55 Новый участник

    Здравствуйте уважаемые форумчане, у меня такая проблема:

    Есть L2TP\IPSEC туннель между маршрутизатором CCR1009-8G-1S(дата-центр) и RB2011iL(филиал), прошивки 6.28 на обоих маршрутизаторах, скорость канала- 10 mbit/s. Проблема- низкая скорость при передаче файлов по туннелю(от дата-центра к филиалу), при этом- скорость скачивания приемлемая. Подскажите пожалуйста - в чем может быть причина?(туннель поднят и до других филиалов, но возможности проверить пока не было) Выкладываю конфиги во вложении.
     

    Вложения:

    • confs.zip
      Размер файла:
      4,1 КБ
      Просмотров:
      7
  2. guest55

    guest55 Новый участник

    Прошивку обновили до 29.1, прошу смотреть новые версии конфигов.
     

    Вложения:

    • confs.zip
      Размер файла:
      4,1 КБ
      Просмотров:
      3
  3. Илья Князев

    Илья Князев Администратор Команда форума

    Нагрузка на CPU при этом какая с обоих сторон ?
    На CCR смотреть /tool profiler чтобы видеть ядра.
     
  4. guest55

    guest55 Новый участник

    На 2011 загрузка процессора 25 процентов, на CCR около 1 процента. Так же хочу добавить, что при L2TP без IPSEC скорость нормальная.
     
  5. Илья Князев

    Илья Князев Администратор Команда форума

    Шифрование в IPSec какое ?
     
  6. Nemiroff_84

    Nemiroff_84 Участник

    Возьмусь ответить за guest55. Судя по тому, что указано в его конфигах, то:
    датацентр:
    /ip ipsec peer
    add dpd-interval=15s dpd-maximum-failures=2 enc-algorithm=aes-256 \
    generate-policy=port-strict hash-algorithm=md5 nat-traversal=no secret=\
    пароль_ipsec send-initial-contact=no

    филиал:
    /ip ipsec peer
    add address=белый_ip_датацентра/32 dpd-interval=15s dpd-maximum-failures=2 \
    enc-algorithm=aes-256 hash-algorithm=md5 nat-traversal=no secret=\
    пароль_ipsec
     
    Последнее редактирование: 2 июл 2015
  7. guest55

    guest55 Новый участник

    Шифрование AES 256 - как отметил Nemiroff_84
     
  8. Илья Князев

    Илья Князев Администратор Команда форума

    Возможно бага CCR.
    Есть возможность проверить на другом оборудовании ?
     
  9. 10000volt

    10000volt Участник

    Странно. Если есть возможность проверьте скорость канала интернет speedtest.net.
    Часто бывает, что провайдер исходящую скорость ставит меньше чем входящую.
     
  10. saszay

    saszay Новый участник

    Такая же проблема только на CCR1036-12G-4S (6.30.2).
     
  11. Илья Князев

    Илья Князев Администратор Команда форума

    Сделайте стенд. По результатам обратитесь к производителю. Для этого необходимо будет описать ситуацию (можно на русском) и приложить файлы suppout.rif с маршрутизаторов.
     
  12. 10000volt

    10000volt Участник

    Предположу что у него есть аппаратный чип шифрования как и у (rb1100) и он захлебывается от количества VPN.
    Попробуйте отключить чип в настройках, чтобы шифрованием занимался внутренний 9 ядерный процессор.
     
  13. saszay

    saszay Новый участник

    А что за чип и как его отключить?
     
  14. saszay

    saszay Новый участник

    Производитель не хочет вникать в проблему :(
     
  15. 10000volt

    10000volt Участник

    rb1100 имеет встроенный сопроцессор заточенный под шифрование который может шифровать со скоростью до 400-500мбит/сек. Скорее всего ccr имеет что-то подобное. К сожалению никогда не держал в руках rb1100 или ccr, поэтому где этот чип отключается подсказать не могу.
     
  16. qbic

    qbic Новый участник

    Проблема решена?
    Собираюсь покупать CCR1009-8G-1S, и если там будут такие же проблемы.... то ..... в общем задумался.

    Кстати, подскажите пожалуйста, серия CCR1009 - шумная???
    Роутер будет стоять в трех метрах от работающих в офисе людей.
     
  17. Илья Князев

    Илья Князев Администратор Команда форума

    Берите вот этот вариант CCR1009-8G-1S-1S+PC
    У него внешний блок питания и нету вентиляторов.
     
    Последнее редактирование модератором: 18 янв 2019
  18. NickDragon

    NickDragon Участник

    Здравствуйте! Подскажите, какую максимальную скорость можно поднять между RB1100AHx4 и RB951G-2hnd? Поднял на них l2tp через интернет Ростелекома (волокно с обеих сторон) - скорость 3 мегабита потолок, с ipsec ещё меньше. Это никак не устраивает ((
     
  19. Илья Князев

    Илья Князев Администратор Команда форума

    В любом случае вы утыкаетесь в RB951G
    От него можно ожидать
    Без шифрования не менее 100мбит
    MPPE128 не менее 30 мбит (думаю 50 можно получить)
    IPSec не более 18 мбит

    Соответственно проблема в настройках или провайдере.
     
  20. NickDragon

    NickDragon Участник

    50 уже хватило бы! Подскажите пожалуйста, что поправить?
    Код:
    export hide-sensitive
    # oct/03/2019 14:12:46 by RouterOS 6.44.5
    # software id = FNLB-KYT4
    #
    # model = 951G-2HnD
    # serial number = 965008FB0D46
    /interface bridge
    add admin-mac=CC:2D:E0:F8:52:1B auto-mac=no comment=defconf name=bridge
    /interface wireless
    set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
      disabled=no distance=indoors frequency=auto installation=indoor mode=\
      ap-bridge ssid=MikroTik wireless-protocol=802.11
    /interface pppoe-client
    add add-default-route=yes disabled=no interface=ether2 name=pppoe-RT \
      use-peer-dns=yes user=gpon0902-813-339@pppoe
    /interface l2tp-client
    add add-default-route=yes connect-to=176.62.88.7 disabled=no name=farmalianse \
      use-ipsec=yes user=Nick
    /interface list
    add comment=defconf name=WAN
    add comment=defconf name=LAN
    /interface wireless security-profiles
    set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \
      management-protection=allowed mode=dynamic-keys supplicant-identity=\
      MikroTik
    /ip pool
    add name=dhcp_pool0 ranges=192.168.2.2-192.168.2.254
    /ip dhcp-server
    add address-pool=dhcp_pool0 disabled=no interface=bridge name=dhcp1
    /interface l2tp-client
    add add-default-route=yes connect-to=tp.internet.beeline.ru disabled=no name=\
      Beeline profile=default user=0854812161
    /interface bridge port
    add bridge=bridge comment=defconf interface=ether3
    add bridge=bridge comment=defconf interface=ether4
    add bridge=bridge comment=defconf interface=wlan1
    add bridge=bridge interface=ether5
    /ip neighbor discovery-settings
    set discover-interface-list=LAN
    /interface detect-internet
    set detect-interface-list=all
    /interface list member
    add comment=defconf interface=bridge list=LAN
    add comment=defconf interface=ether1 list=WAN
    add interface=ether2 list=WAN
    add interface=pppoe-RT list=WAN
    add interface=Beeline list=WAN
    /ip address
    add address=192.168.2.1/24 interface=bridge network=192.168.2.0
    /ip dhcp-client
    add comment=defconf default-route-distance=10 dhcp-options=hostname,clientid \
      disabled=no interface=ether1
    /ip dhcp-server network
    add address=192.168.2.0/24 gateway=192.168.2.1
    /ip dns
    set allow-remote-requests=yes
    /ip dns static
    add address=192.168.88.1 name=router.lan
    /ip firewall address-list
    add address=176.62.88.7 list=farmalianse
    /ip firewall filter
    add action=accept chain=input comment=\
      "defconf: accept established,related,untracked" connection-state=\
      established,related,untracked
    add action=drop chain=input comment="defconf: drop invalid" connection-state=\
      invalid
    add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
    add action=drop chain=input comment="defconf: drop all not coming from LAN" \
      in-interface-list=!LAN
    add action=accept chain=forward comment="defconf: accept in ipsec policy" \
      ipsec-policy=in,ipsec
    add action=accept chain=forward comment="defconf: accept out ipsec policy" \
      ipsec-policy=out,ipsec
    add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
      connection-state=established,related disabled=yes
    add action=accept chain=forward comment=\
      "defconf: accept established,related, untracked" connection-state=\
      established,related,untracked
    add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
      invalid
    add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
      connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
    /ip firewall mangle
    add action=mark-routing chain=prerouting new-routing-mark=Beeline passthrough=\
      yes src-address=192.168.2.3
    /ip firewall nat
    add action=accept chain=srcnat dst-address=192.168.30.0/24 out-interface=\
      farmalianse src-address=192.168.2.0/24
    add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
      out,none out-interface-list=WAN
    add action=src-nat chain=srcnat dst-address=!192.168.2.0/24 out-interface=\
      Beeline routing-mark=Beeline src-address=192.168.2.3 to-addresses=\
      93.81.236.27
    add action=dst-nat chain=dstnat dst-port=9 in-interface=pppoe-RT protocol=tcp \
      src-address-list=farmalianse to-addresses=192.168.2.9 to-ports=3389
    add action=dst-nat chain=dstnat dst-port=49 in-interface=pppoe-RT protocol=tcp \
      src-address-list=farmalianse to-addresses=192.168.2.49 to-ports=3389
    add action=dst-nat chain=dstnat dst-port=1927 in-interface=pppoe-RT protocol=\
      tcp src-address-list=farmalianse to-addresses=192.168.2.7 to-ports=22
    add action=dst-nat chain=dstnat dst-port=1922 in-interface=pppoe-RT protocol=\
      tcp src-address-list=farmalianse to-addresses=192.168.2.8 to-ports=22
    add action=dst-nat chain=dstnat dst-port=8777 in-interface=pppoe-RT protocol=\
      tcp src-address-list=farmalianse to-addresses=192.168.2.7 to-ports=8006
    add action=dst-nat chain=dstnat dst-port=8 in-interface=pppoe-RT protocol=tcp \
      src-address-list=farmalianse to-addresses=192.168.2.8 to-ports=80
    add action=dst-nat chain=dstnat dst-port=65 in-interface=Beeline protocol=tcp \
      src-address-list=farmalianse to-addresses=192.168.2.3 to-ports=3389
    /ip route rule
    add action=lookup-only-in-table routing-mark=Beeline table=Beeline
    /system clock
    set time-zone-name=Asia/Omsk
    /system ntp client
    set enabled=yes primary-ntp=88.147.254.230 secondary-ntp=88.147.254.235 \
      server-dns-names=ntp2.stratum2.ru,ntp3.stratum2.ru
    /system script
    add dont-require-permissions=no name=Nick owner=Nick policy=\
      ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=\
      "export file=config"
    /tool mac-server
    set allowed-interface-list=LAN
    /tool mac-server mac-winbox
    set allowed-interface-list=LAN 
    Конечно 10о желательно, даже IPsec ради этого готов отключить

    Кстати, такая же проблема: из 1100 (сервер l2tp) в 951 (клиент) скорость 10мб/с, а из 951 в 1100 - 1мб/с. Почему? 951 грузится 70-90%, 1100 и 5% не набирает
     
    Последнее редактирование: 8 окт 2019