Jump to content

Скорость в тоннеле IPsec site-2-site


Recommended Posts

Есть две точки с белыми IP. На одной точке инет 100Мбит, на второй - 50 Мбит. На них стоят два Speedster (KN-3010) с настроенными тоннелями IPsec. Как ни игрался с настройками, но получить скорость выше ~10Мбит в тоннеле не могу. При этом обещанная тарифом скорость похожа на правду на обоих точках (проверял торрентами). Связь между двумя точками тоже соответствует ожиданиям в 50Мбит (проверял пробросом портов на компы внутрь сетей и скачиванием больших файлов по SMB). При этом если те же большие файлы с тех же компов кидать через тоннель, а не через открытые порты напрямую, то скорость будет порядка 10Мбит. 

Параметры тоннеля:

Фаза 1: AES-128, SHA1, DH-1 (было так же AES-128, SHA256, DH-1)

Фаза 2: CHACHA20-POLY1305, DH-5 (это из советов на данном форуме, до попыток оптимизации было AES-128, SHA256, DH-5)

По моим представлениям, чипсет Спидстеров должен давать по крайней мере сотню-другую в тоннеле. Или мои ожидания были завышены? Или я делаю что-то не так?

 

01.jpg

Link to comment
Share on other sites

Только что, Le ecureuil сказал:

Site-to-Site точно не 10 Мбит должен быть, а выше. Чем меряете?

Выше описывал: перекидываю относительно большой файл по SMB (сетевые шары) через тоннель. Тот же файл между теми же компами, но через проброс портов, а не через тоннель, летит со скоростью тарифа провайдера. 

Link to comment
Share on other sites

Провайдер не режет IPsec? А если между ПК поднять и проверить? Ну или через wireguard соединить, если нет возможности поднять IPsec на другом устройстве.

Link to comment
Share on other sites

11 минуту назад, Le ecureuil сказал:

Провайдер не режет IPsec? А если между ПК поднять и проверить? Ну или через wireguard соединить, если нет возможности поднять IPsec на другом устройстве.

Ну вот я и пытаюсь нити причину - провайдер утверждает, что у него никаких преград нет. Скорость между узлами напрямую - проверил. Сколько IPsec может переварить Спидстер я так и не смог найти в каких-либо характеристиках, описаниях или отзывах, но предполагаю, что порядка 200-300Мбит должен уметь. Но насколько мои предположения близки к истине? И в каком месте между этими двумя точками мне искать то самое узкое место? В слабости аппаратуры роутера? В тонкостях настройки тоннелей? Или выводить провайдера на чистую воду?

Edited by AnDrEyKa_111
Link to comment
Share on other sites

4 часа назад, Le ecureuil сказал:

Без проверки на wireguard все это бесполезное гадание.

Настроил WireGuard site-to-site - полетело на нормальных 50Мбит. Тогда что не так с IPsec?

Link to comment
Share on other sites

18 часов назад, AnDrEyKa_111 сказал:

Настроил WireGuard site-to-site - полетело на нормальных 50Мбит. Тогда что не так с IPsec?

Пока могу предположить провайдера :)

Скиньте self-test с обоих устройств когда копируется по IPsec большой файл и низкая скорость.

Link to comment
Share on other sites

2 часа назад, Le ecureuil сказал:

Пока могу предположить провайдера :)

Скиньте self-test с обоих устройств когда копируется по IPsec большой файл и низкая скорость.

Там какие-то определённые разделы интересны? Целиком не хотелось бы на всеобщее обозрение выкладывать. Пусть паролей и тп там и нет, но тем не менее...

Link to comment
Share on other sites

4 минуты назад, AnDrEyKa_111 сказал:

Там какие-то определённые разделы интересны? Целиком не хотелось бы на всеобщее обозрение выкладывать. Пусть паролей и тп там и нет, но тем не менее...

https://forum.keenetic.net/announcement/4-как-правильно-добавить-self-test-и-прочую-отладку-в-тему/

Link to comment
Share on other sites

4 часа назад, AnDrEyKa_111 сказал:

Там какие-то определённые разделы интересны? Целиком не хотелось бы на всеобщее обозрение выкладывать. Пусть паролей и тп там и нет, но тем не менее...

Таки в поддержку тогда почему бы не пойти?

  • Upvote 1
Link to comment
Share on other sites

  • 6 months later...
14 часа назад, Migel сказал:

Чем в итоге дело кончилось?

 

Обращался в поддержку, их советы к радикальным изменениям не привели. В итоге оставил тоннель WireGuard - в нём скорость нормальная

Link to comment
Share on other sites

  • 4 weeks later...
В 07.03.2022 в 11:19, AnDrEyKa_111 сказал:

Обращался в поддержку, их советы к радикальным изменениям не привели. 

Если кинетики бюджетные на 7628, то там да, IP-Sec чуть больше 10 мегабит идет

В 07.03.2022 в 11:19, AnDrEyKa_111 сказал:

В итоге оставил тоннель WireGuard - в нём скорость нормальная

Ну если до 32 пира то норм, у кого больше клиентов то WG не прокатит.

Link to comment
Share on other sites

В 06.04.2022 в 15:10, SySOPik сказал:

Если кинетики бюджетные на 7628, то там да, IP-Sec чуть больше 10 мегабит идет

Спидстер, не знаю чо там у него, но по идее его чахлым не назовёшь

 

В 06.04.2022 в 15:10, SySOPik сказал:

Ну если до 32 пира то норм, у кого больше клиентов то WG не прокатит.

Речь идёт про ОДИН тоннель site-to-site

Link to comment
Share on other sites

1 час назад, AnDrEyKa_111 сказал:

Спидстер, не знаю чо там у него

Ну там 2/4 ядерник, там все повеселее.

1 час назад, AnDrEyKa_111 сказал:

ОДИН тоннель site-to-site

Один туннель WG в любом случае интересно. У меня туннелей больше 32, так что я WG не рассматриваю.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...