Jump to content

Recommended Posts

Всем привет. Коллеги, ваши варианты решения проблемы: есть два роутера Zyxel Keenetic Giga II (прошивки 2.11.C.1.0-3 на обоих) . На Wan интерфейсах обоих железок (точнее пластмассок) белые ip-адреса. Между ними поднят IPSec, всё работает, пинги бегают, ПК за NAT`ом видятся с обоих сторон. На VPN - сервере канал интернета 200 Мбит/с, на клиенте - 70 Мбит/с. Giga (vpn-сервер) находится за GPON роутером МГТС, который переведён в режим бридж. Так вот, если кидаю файл с сервера на клиент (общая папка на ПК на стороне клиента), то скорость загрузки не превышает 10-11 Мбит/с (скрины прилагаю), а если с клиента на сервер ( и в общую папку на ПК за ВПН сервером, и на hdd, подключенный к роутеру), то до 50-60 Мбит/сек. Может сменить метод шифрования ( какой лучше выбрать для каждой фазы и какую группу Диффи выбрать)? Проц выше 35% на обоих роутерах не загружается.И второй момент: если в настройках IPSec перевожу на транспортный режим, то туннель не поднимается, селф тест и отладку могу приложить.

ay5z4RtjtKo.jpg

Kkfj_87u-U4.jpg

MNWivup1JKg.jpg

Edited by stefbarinov@mail.ru

Share this post


Link to post
Share on other sites

Если перевожу туннель в транспортный режим, то начинают сыпаться ошибки. В какую сторону рыть? Или для транспортного режима нужно создавать правила для Gre?

Screenshot_3.jpg

Screenshot_client.jpg

Screenshot_srv.jpg

Edited by stefbarinov@mail.ru

Share this post


Link to post
Share on other sites

Транспортный режим без инкапсуляции. соответственно через интернет между серыми подсетями не применим. 

Share this post


Link to post
Share on other sites
6 минут назад, r13 сказал:

Транспортный режим без инкапсуляции. соответственно через интернет между серыми подсетями не применим. 

Так у меня на WAN-интерфейсах белые адреса, я это указал в описании. Пробовал поднимать разные туннели (IPSec VPN в режиме TUNNEL (на вкладке безопасность), GREoIPSec) - скорость приема/передачи файлов не изменна. Как через CLI в интерфейсе GRE0 удалить IPSec? Пробовал команду no ipsec ignore, но в show inter gre0 всё равно отображается ipsec enable

Edited by stefbarinov@mail.ru

Share this post


Link to post
Share on other sites
2 минуты назад, stefbarinov@mail.ru сказал:

Так у меня на WAN-интерфейсах белые адреса, я это указал в описании

так в транспортном их и надо указывать в локальной-удаленной сетях туннеля, и желательно чтоб они были статическими, чтоб туннель не перенастраивать при изменении адресов. 

Share this post


Link to post
Share on other sites
21 минуту назад, r13 сказал:

так в транспортном их и надо указывать в локальной-удаленной сетях туннеля, и желательно чтоб они были статическими, чтоб туннель не перенастраивать при изменении адресов. 

То есть под цифрами 1-4 должны быть указаны внешние белые адреса? И когда поднимаю GREoIPSec через CLI, то по умолчанию он в транспортном режиме работает? 

Screenshot5.jpg

Screenshot6.jpg

Edited by stefbarinov@mail.ru

Share this post


Link to post
Share on other sites

для транспортного для 3 и 4 в вашем случае должны быть внешние адреса. и да для туннелей типа gre over ipsec автоматом настраивается транспортный режим. 

Share this post


Link to post
Share on other sites

Сп

3 минуты назад, r13 сказал:

для транспортного для 3 и 4 в вашем случае должны быть внешние адреса. и да для туннелей типа gre over ipsec автоматом настраивается транспортный режим. 

Спасибо за ответ. Как всё-таки ручками из cli отключить ipsec в интерфейсе gre? И как удалить интерфейс gre? Или достаточно down?

Edited by stefbarinov@mail.ru

Share this post


Link to post
Share on other sites
5 минут назад, r13 сказал:

для транспортного для 3 и 4 в вашем случае должны быть внешние адреса. и да для туннелей типа gre over ipsec автоматом настраивается транспортный режим. 

Если для 3 и 4 выставить внешние белые адреса, то какую маску указывать? /30?

Share this post


Link to post
Share on other sites

все 255, точка-точка, только зачем это вам? используйте gre или ipip over ipsec. 

Share this post


Link to post
Share on other sites
1 минуту назад, r13 сказал:

все 255, точка-точка, только зачем это вам? используйте gre или ipip over ipsec. 

На gre over ipsec и решил остановиться, только не знаю, как из cli откл ipsec? Хотел потестировать скорость в туннеле без ipsec

 

Share this post


Link to post
Share on other sites
12 минуты назад, stefbarinov@mail.ru сказал:

На gre over ipsec и решил остановиться, только не знаю, как из cli откл ipsec? Хотел потестировать скорость в туннеле без ipsec

 

просто не вводите команды начинающиеся на ipsec при настройке туннеля и будет просто gre туннель. в обратном случае будет gre over ipsec

Share this post


Link to post
Share on other sites
Только что, r13 сказал:

просто не вводите команды начинающиеся на ipsec при настройке туннеля и будет просто gre туннель. в обратном случае будет gre over ipsec

Логично) Но как убрать ipsec из уже имеющего конфига? Править startup-config и заливать на рутер или создавать новый интерфейс, но уже без ipsec?

Share this post


Link to post
Share on other sites

команды с префиксом no вводить

Share this post


Link to post
Share on other sites
4 минуты назад, r13 сказал:

команды с префиксом no вводить

Пробовал бесполезно, в конфиге всё равно остается  ipsec-enabled: yes

Share this post


Link to post
Share on other sites
14 минуты назад, stefbarinov@mail.ru сказал:

Пробовал бесполезно, в конфиге всё равно остается  ipsec-enabled: yes

с этим разобрался, но странность в том, что после отключения ipsec`а скорость осталась неизменной в оба конца туннеля)) 

Screenshot7.jpg

Share this post


Link to post
Share on other sites
24 минуты назад, r13 сказал:

команды с префиксом no вводить

с этим разобрался, но странность в том, что после отключения ipsec`а скорость осталась неизменной в оба конца туннеля)) Прыгает 3,5 - 8 Мбайт/сек (загрузка CPU при этом не более 50% на обоих рутерах

Screenshot7.jpg

Edited by stefbarinov@mail.ru

Share this post


Link to post
Share on other sites

то биш в полку, процессор двухпоточный

Share this post


Link to post
Share on other sites
6 минут назад, r13 сказал:

то биш в полку, процессор двухпоточный

На какой лучше сменить: Ультра 2 или Гига 3? У ультры привлекает 2 ядра, но по тестам она вроде практически идентична Гиге 3

Share this post


Link to post
Share on other sites
1 час назад, stefbarinov@mail.ru сказал:

На какой лучше сменить: Ультра 2 или Гига 3? У ультры привлекает 2 ядра, но по тестам она вроде практически идентична Гиге 3

попробуйте для начала ipip туннель

Share this post


Link to post
Share on other sites
17 часов назад, r13 сказал:

попробуйте для начала ipip туннель

ipip вообще показал самую маленькую пропускную способность, порядка 2Мбайт/с в обе стороны, пришлось отказаться от него и заново настроить IPSec VPN на вкладке безопасность (скорость с сервера на клиент 6 - 8 МБайт/с, в обратку - 3 - 4 Мбайт/с.

Share this post


Link to post
Share on other sites

В вашем случае либо

а) IPsec в туннельном режиме, ориентировочно AES128-SHA1 / DH14 во второй фазе пожалуй будет достаточно, в первой максимум AES256/SHA256, выше смысла нет. Транспортный режим вручную настраивать смысла нет, если не понимаете до конца как это все работает.

б) автоматический туннель IPIPoverIPsec, пример настройки скажем тут - https://forum.keenetic.net/topic/4562-объединение-2-ух-интернет-центров-какой-туннель-оптимальнее/?do=findComment&comment=53412

У Gre/EoIP оверхед выше, и в общем случае они не нужны

Из моей практики - на Giga II IPIPoverIPsec IKEv2 спокойно жует чуть больше 100 мбит/с в обе стороны (по отдельности конечно).

Share this post


Link to post
Share on other sites
1 час назад, KorDen сказал:

В вашем случае либо

а) IPsec в туннельном режиме, ориентировочно AES128-SHA1 / DH14 во второй фазе пожалуй будет достаточно, в первой максимум AES256/SHA256, выше смысла нет. Транспортный режим вручную настраивать смысла нет, если не понимаете до конца как это все работает.

б) автоматический туннель IPIPoverIPsec, пример настройки скажем тут - https://forum.keenetic.net/topic/4562-объединение-2-ух-интернет-центров-какой-туннель-оптимальнее/?do=findComment&comment=53412

У Gre/EoIP оверхед выше, и в общем случае они не нужны

Из моей практики - на Giga II IPIPoverIPsec IKEv2 спокойно жует чуть больше 100 мбит/с в обе стороны (по отдельности конечно).

Спасибо за отзыв, попробую настроить по вашей ссылке из пункта "б" и поэкспериментировать со скоростью.

Edited by stefbarinov@mail.ru

Share this post


Link to post
Share on other sites

Так и не могу победить проблему: от сервера (200 Мб/с) на клиент (70Мб/с) скорость в туннеле 1.5 - 2 МБайт/с, с клиента на сервер 6-8 Мбайт/с. Пробовал разные виды туннелей, с шифрованием и без, но увы. Провайдер сказал, что скорость не режет, но рекомендовал для туннеля gre  иметь статический белый айпи. У меня белая динамика

Share this post


Link to post
Share on other sites
39 минут назад, stefbarinov@mail.ru сказал:

Так и не могу победить проблему: от сервера (200 Мб/с) на клиент (70Мб/с) скорость в туннеле 1.5 - 2 МБайт/с, с клиента на сервер 6-8 Мбайт/с. Пробовал разные виды туннелей, с шифрованием и без, но увы. Провайдер сказал, что скорость не режет, но рекомендовал для туннеля gre  иметь статический белый айпи. У меня белая динамика

поснимайте пакеты в разные стороны и посравнивайте в чем отличие. 

Share this post


Link to post
Share on other sites
2 минуты назад, r13 сказал:

поснимайте пакеты в разные стороны и посравнивайте в чем отличие. 

wireshark`ом?

Share this post


Link to post
Share on other sites
1 минуту назад, stefbarinov@mail.ru сказал:

wireshark`ом?

в кинетиках есть встроенный захват пакетов(компонент). 

Share this post


Link to post
Share on other sites
Только что, r13 сказал:

в кинетиках есть встроенный захват пакетов(компонент). 

Понял, попробую. Ради эксперимента, подключил статический ip, щас подниму ipip over ipsec,посмотрим, что покажет)

Share this post


Link to post
Share on other sites
Только что, stefbarinov@mail.ru сказал:

Понял, попробую. Ради эксперимента, подключил статический ip, щас подниму ipip over ipsec,посмотрим, что покажет)

статика врядли поможет :)   mtu с обоих сторон одинаковый?

Share this post


Link to post
Share on other sites
10 минут назад, r13 сказал:

статика врядли поможет :)   mtu с обоих сторон одинаковый?

Да мне тоже как кажется, но попробую, дабы не думалось) 

 

 

 

 

Screenshot_4.png

Screenshot_5.png

Edited by stefbarinov@mail.ru

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...