Низкая скорость L2TP\IPSEC в одну сторону

Тема в разделе "Общие вопросы", создана пользователем guest55, 30 июн 2015.

  1. guest55

    guest55 Новый участник

    Здравствуйте уважаемые форумчане, у меня такая проблема:

    Есть L2TP\IPSEC туннель между маршрутизатором CCR1009-8G-1S(дата-центр) и RB2011iL(филиал), прошивки 6.28 на обоих маршрутизаторах, скорость канала- 10 mbit/s. Проблема- низкая скорость при передаче файлов по туннелю(от дата-центра к филиалу), при этом- скорость скачивания приемлемая. Подскажите пожалуйста - в чем может быть причина?(туннель поднят и до других филиалов, но возможности проверить пока не было) Выкладываю конфиги во вложении.
     

    Вложения:

    • confs.zip
      Размер файла:
      4,1 КБ
      Просмотров:
      6
  2. guest55

    guest55 Новый участник

    Прошивку обновили до 29.1, прошу смотреть новые версии конфигов.
     

    Вложения:

    • confs.zip
      Размер файла:
      4,1 КБ
      Просмотров:
      3
  3. Илья Князев

    Илья Князев Администратор Команда форума

    Нагрузка на CPU при этом какая с обоих сторон ?
    На CCR смотреть /tool profiler чтобы видеть ядра.
     
  4. guest55

    guest55 Новый участник

    На 2011 загрузка процессора 25 процентов, на CCR около 1 процента. Так же хочу добавить, что при L2TP без IPSEC скорость нормальная.
     
  5. Илья Князев

    Илья Князев Администратор Команда форума

    Шифрование в IPSec какое ?
     
  6. Nemiroff_84

    Nemiroff_84 Участник

    Возьмусь ответить за guest55. Судя по тому, что указано в его конфигах, то:
    датацентр:
    /ip ipsec peer
    add dpd-interval=15s dpd-maximum-failures=2 enc-algorithm=aes-256 \
    generate-policy=port-strict hash-algorithm=md5 nat-traversal=no secret=\
    пароль_ipsec send-initial-contact=no

    филиал:
    /ip ipsec peer
    add address=белый_ip_датацентра/32 dpd-interval=15s dpd-maximum-failures=2 \
    enc-algorithm=aes-256 hash-algorithm=md5 nat-traversal=no secret=\
    пароль_ipsec
     
    Последнее редактирование: 2 июл 2015
  7. guest55

    guest55 Новый участник

    Шифрование AES 256 - как отметил Nemiroff_84
     
  8. Илья Князев

    Илья Князев Администратор Команда форума

    Возможно бага CCR.
    Есть возможность проверить на другом оборудовании ?
     
  9. 10000volt

    10000volt Участник

    Странно. Если есть возможность проверьте скорость канала интернет speedtest.net.
    Часто бывает, что провайдер исходящую скорость ставит меньше чем входящую.
     
  10. saszay

    saszay Новый участник

    Такая же проблема только на CCR1036-12G-4S (6.30.2).
     
  11. Илья Князев

    Илья Князев Администратор Команда форума

    Сделайте стенд. По результатам обратитесь к производителю. Для этого необходимо будет описать ситуацию (можно на русском) и приложить файлы suppout.rif с маршрутизаторов.
     
  12. 10000volt

    10000volt Участник

    Предположу что у него есть аппаратный чип шифрования как и у (rb1100) и он захлебывается от количества VPN.
    Попробуйте отключить чип в настройках, чтобы шифрованием занимался внутренний 9 ядерный процессор.
     
  13. saszay

    saszay Новый участник

    А что за чип и как его отключить?
     
  14. saszay

    saszay Новый участник

    Производитель не хочет вникать в проблему :(
     
  15. 10000volt

    10000volt Участник

    rb1100 имеет встроенный сопроцессор заточенный под шифрование который может шифровать со скоростью до 400-500мбит/сек. Скорее всего ccr имеет что-то подобное. К сожалению никогда не держал в руках rb1100 или ccr, поэтому где этот чип отключается подсказать не могу.
     
  16. qbic

    qbic Новый участник

    Проблема решена?
    Собираюсь покупать CCR1009-8G-1S, и если там будут такие же проблемы.... то ..... в общем задумался.

    Кстати, подскажите пожалуйста, серия CCR1009 - шумная???
    Роутер будет стоять в трех метрах от работающих в офисе людей.
     
  17. Илья Князев

    Илья Князев Администратор Команда форума

    Берите вот этот вариант CCR1009-8G-1S-1S+PC
    У него внешний блок питания и нету вентиляторов.