Jump to content

Максим Анисимов

Forum Members
 View Profile  See their activity

  • Posts

    5

  • Joined

  • Last visited

 Content Type 

Posts posted by Максим Анисимов

    L2TP/IPsec сервер

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    On 8/26/2019 at 1:01 PM, Le ecureuil said:

    Еще раз - исправление будет в версиях после 3.01.

    Поставил 3.3 Alpha 1.1. В целом, L2TP/IPSec работает стабильно. По speed test скорость упирается в потолок 56 мбит в обе стороны. Связано скорее всего с загрузкой одного ядра процессора (один поток), так как индикатор показывает 25-26% во время теста. Ранее на аппаратной реализации без исправлений загрузка процессора была очень низкой. По-моему, цифру более 5% вообще не наблюдал. В связи с этим вопрос - это предел или есть возможность улучшить производительность?

    L2TP/IPsec сервер

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by Максим Анисимов

    On 8/12/2019 at 9:22 PM, Le ecureuil said:

    Ждите, исправление уже в тестировании ;)

    Провел тестирование L2TP/IPSEC на последней бете (3.1 Beta 6). Что в итоге:

    1) Сообщения об ошибках из лога пропали.

    2) Проблемы все еще наблюдаются на исходящем от клиента трафике.

    Спидтест для (crypto engine hardware)

    Spoiler

    ipsec_hardware.thumb.png.c43f367382b2c905303aba85ebf1178f.png

    Спидтест для (crypto engine software)

    Spoiler

    ipsec_software.thumb.png.b241331ebb087cd26e28c1d7a5008d2f.png

    3) Сообщение об ошибке выгрузки модуля esp4_hw.ko при переключении из hardware в software

    Spoiler

    Авг 26 08:38:45 ndm
    IpSec::CryptoEngineManager: IPsec crypto engine set to "software".
    Авг 26 08:38:47 ndm
    IpSec::Manager: create IPsec reconfiguration transaction...
    Авг 26 08:38:47 ndm
    IpSec::Manager: IPsec reconfiguration transaction was created.
    Авг 26 08:38:48 ndm
    Core::System::DriverManager: unloading esp4_hw.ko...
    Авг 26 08:38:48 ndm
    Core::System::DriverManager: failed to unload: resource temporarily unavailable.
    Авг 26 08:38:48 ndm
    IpSec::CryptoEngineManager: system failed [0xcffd013d], unable to unload hardware crypto driver.
    Авг 26 08:38:48 ndm
    IpSec::Configurator: crypto map "VPNL2TPServer" shutdown started.

     

    L2TP/IPsec сервер

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by Максим Анисимов

    On 4/24/2019 at 10:34 AM, Максим Анисимов said:

    В ответ получил IpSec::Manager: "VPNL2TPServer": crypto map L2TP/IPsec server set MTU to "1200".

    Затем решил проверить, попали ли настройки в конфигурационные файл. Выполнил: show running-config

     

    On 4/23/2019 at 9:03 PM, Le ecureuil said:

    Расскажите поподробнее, что вы делаете.

    Есть какие-нибудь идеи? Техподдержка уже более суток молчит. Может, доказательства нужны? Я ведь не придумываю. Сейчас стоит draft 3.00.A.2.0-5, пока все также.

    P.S.

    В техподдержке только что подтвердили проблему.

    Quote

    Да, настройка не отображается в конфиге, но судя по всему, применяется. Я сообщил об этом разработчикам.

    Не знаете случайно как проверить, что настройка применилась?

    L2TP/IPsec сервер

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted · Edited by Максим Анисимов

    14 hours ago, Le ecureuil said:

    Расскажите поподробнее, что вы делаете.

    Если в кратце, то изначально проблема была в том, что у меня криво работает IPSEC/L2TP сервер при использовании аппаратного ускорения EIP93 (сайты открываются через раз). В логе присутствуют сообщения вида "kernel: EIP93: PE ring[39] error: AUTH_ERR". Подключение к провайдеру у меня через L2TP. При переключении на crypto engine software все работает отлично. В итоге в техподдержке мне ответили следующее:

    Quote

     

    Да, проблема известна разработчикам. Не срабатывает должным образом фрагментация пакетов. Это проявляется в таких частных случаях, как L2TP over IPsec over L2TP. В версии 3.0 обновлено ядро linux и это создает условия, чтобы проблему можно было исправить. Мы надеялись, что новое ядро может само по себе ее решить, но похоже, тут требуется более глубокая инспекция кода. 

    ...

    Пока все что можно попробовать, это снизить mtu на сервере (со старым ядром не помогало) или использовать crypto engine software 

    
crypto map VPNL2TPServer l2tp-server mtu 1200
system configuration save

      

    Я решил попробовать вариант с изменением mtu для VPNL2TPServer. Подключился к cli.

    Ввел команды:

    Quote

     

    crypto map VPNL2TPServer l2tp-server mtu 1200

    system configuration save

     

    В ответ получил IpSec::Manager: "VPNL2TPServer": crypto map L2TP/IPsec server set MTU to "1200".

    Затем решил проверить, попали ли настройки в конфигурационные файл. Выполнил: show running-config

    В итоге, в разделе "crypto map VPNL2TPServer" не было никакого упоминания про mtu. Т. е. система отрапортовала, что MTU был изменен, но в конфигурационном файле ничего не изменилось. 

    L2TP/IPsec сервер

    in Обсуждение IPsec, OpenVPN и других туннелей

    Posted

    On 10/14/2017 at 5:59 PM, Le ecureuil said:

    У вас на Кинетике клиент или сервер?

    Если сервер, то пробуйте настроить MTU и MRU так:

    > crypto map <servername> l2tp-server mtu <mtu>

    > crypto map <servername> l2tp-server mru <mru>

     

    On 10/15/2017 at 11:35 AM, indus said:

    Обнаружил баг - параметры прописанные через cli

    l2tp-server mtu <mtu>

    l2tp-server mru <mru>

    не сохраняются в running-config, и соответственно не в startup-config, с вытекающими из этого последствиями...

    п.с. в ручную корректировать startup-config можно, но до следующего save-config

    У меня такая же проблема. Настройки mtu и mru не применяются. Прошивка draft последняя на KN-1010. Как побороть?

×
×
  • Create New...