CBLoner Posted December 11, 2016 Share Posted December 11, 2016 Есть два разных IPSEC канала: 1. ULTRA II - ULTRA II (на текщий момент один и тот же последний 12й DRAFT, IP белые) 2. ULTRA II - NetGear FVS318 (12й DRAFT, IP белые) Суть проблемы: админю компы через Teamviewer и Radmin 3.4. Доступ и там и там по локальным IP. В процессе работы, где-то раз в минуту, канал замирает, связь не обрывается, но жму на клавиши и мышь ноль реакции. Потом через 3-10 секунд, как будто отлипает и продолжаю работать - через минуту опять повтор. Думал глюк, открыл Word и нажал на букву, побежал автоповтор, бац... провал секунд на 10, потом опять побежала буковка по документу. Если через внешний IP прокидывать порт, для Radmin, то пауз совсем не наблюдается! Ошибок в журнале нет! Но и комфортной работы нет! ЧаВо это может быть такое? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted December 11, 2016 Share Posted December 11, 2016 Включен ли crypto engine hardware? Если можно, то неплохо бы включить system debug (Отладочный режим) и снять self-test сразу после "фризов". Quote Link to comment Share on other sites More sharing options...
CBLoner Posted December 11, 2016 Author Share Posted December 11, 2016 Извиняюсь за вопрос, но где это посмотреть? И self-test врубать сразу как отвиснет или сначала запустить и тормознуть секунд через 30 после "отлипания". Трудно будет Отплит - побежал - включил.... Quote Link to comment Share on other sites More sharing options...
CBLoner Posted December 12, 2016 Author Share Posted December 12, 2016 Вот настройки IPSEC и селф тесты. В одном сразу снял после залипания. В другом пока все работает, а потом два раза залипало. crypto engine hardware - это используется ли шифрование в туннеле? 2016-12-12___До-фриза-включая-2-зависания_self-test.txt 2016-12-12___Сразу-после-фриза_self-test.txt Quote Link to comment Share on other sites More sharing options...
CBLoner Posted December 15, 2016 Author Share Posted December 15, 2016 Есть предположения? Жить конечно можно, но комфорту мало ((Отправлено с моего iPad используя Tapatalk Quote Link to comment Share on other sites More sharing options...
CBLoner Posted December 18, 2016 Author Share Posted December 18, 2016 Умерла тема? Ни подскажет никто? Работать можно, но раз в минуту зависоны секунд на 5-10 слегка отмораживают! ХЭЛП! Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted December 19, 2016 Share Posted December 19, 2016 10 часов назад, cbloner сказал: Умерла тема? Ни подскажет никто? Работать можно, но раз в минуту зависоны секунд на 5-10 слегка отмораживают! ХЭЛП! Не можем воспроизвести вашу ситауцию, нужно больше данных. И ждем еще обращений от пользователей. 1 Quote Link to comment Share on other sites More sharing options...
CBLoner Posted December 19, 2016 Author Share Posted December 19, 2016 Может я смогу предоставить еще больше данных... готов поснимать дампы и все такое... Просто у меня как минимум мой ULTRA2 и у клиентов таких же штуки. Сейчас у еще одного будет +1. Интернет у всех разный, а ситуация одинаковая. Боюсь что такое не все заметят... я всегда любил находить специфические фичи! Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted December 19, 2016 Share Posted December 19, 2016 49 минут назад, cbloner сказал: Может я смогу предоставить еще больше данных... готов поснимать дампы и все такое... Просто у меня как минимум мой ULTRA2 и у клиентов таких же штуки. Сейчас у еще одного будет +1. Интернет у всех разный, а ситуация одинаковая. Боюсь что такое не все заметят... я всегда любил находить специфические фичи! Можете проверить на самой свежей 2.07? Quote Link to comment Share on other sites More sharing options...
CBLoner Posted December 19, 2016 Author Share Posted December 19, 2016 Вечером попробую... когда все по домам уйдут. Нулить надо с 2.08 или пережует конфу туда сюда!? Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted December 19, 2016 Share Posted December 19, 2016 1 минуту назад, cbloner сказал: Вечером попробую... когда все по домам уйдут. Нулить надо с 2.08 или пережует конфу туда сюда!? По идее ничего сломаться не должно. Quote Link to comment Share on other sites More sharing options...
CBLoner Posted December 19, 2016 Author Share Posted December 19, 2016 Ок, все проверю отпишусь! Quote Link to comment Share on other sites More sharing options...
CBLoner Posted December 22, 2016 Author Share Posted December 22, 2016 (edited) 1. Мой ULTRA2 v2.07(AAUX.5)C3 (Сторона "А", 192.168.10.0/24) -> Клиент ULTRA2 v2.08(AAUX.4)A12 (Сторона "Б", 192.168.15.0/24) IPSEC VPN (Phase 1 - DES/MD5/DH-1 [IKEv1, 86400, MainMode], Phase 2 - DES/MD5/DH-1 [Tunnel, SA 28800]) а) Из сети, 192.168.10.1 -> 192.168.15.6 (Через Тунель) TeamViewer 12 - фризы каждые 40-45 секунд, с паузой 3-7 секунд; Radmin 3.4 - фризы каждые 40-45 секунд, с паузой 3-7 секунд; б) Из сети, 192.168.10.1 -> 213.*.*.* пробросив порт 4899 (radmin) и 5938 (TeamViwer) на 192.168.15.6 TeamViewer 12 - фризы отсутствуют; Radmin 3.4 - фризы отсутствуют; 2. Заменил прошивку на Стороне "Б" на v2.07(AAUX.5)C3 IPSEC VPN (Phase 1 - DES/MD5/DH-1 [IKEv1, 86400, MainMode], Phase 2 - DES/MD5/DH-1 [Tunnel, SA 28800]) а) Из сети, 192.168.10.1 -> 192.168.15.6 (Через Тунель) TeamViewer 12 - фризы отсутствуют; Radmin 3.4 - фризы отсутствуют; б) Из сети, 192.168.10.1 -> 213.*.*.* пробросив порт 4899 (radmin) и 5938 (TeamViwer) на 192.168.15.6 TeamViewer 12 - фризы отсутствуют; Radmin 3.4 - фризы отсутствуют; 3. Заменил прошивку на Стороне "А" и "Б" на v2.08(AAUX.4)A12 IPSEC VPN (Phase 1 - DES/MD5/DH-1 [IKEv1, 86400, MainMode], Phase 2 - DES/MD5/DH-1 [Tunnel, SA 28800]) а) Из сети, 192.168.10.1 -> 192.168.15.6 (Через Тунель) TeamViewer 12 - фризы каждые 40-55 секунд, с паузой 3-7 секунд; Radmin 3.4 - фризы каждые 40-55 секунд, с паузой 3-7 секунд; б) Из сети, 192.168.10.1 -> 213.*.*.* пробросив порт 4899 (radmin) и 5938 (TeamViwer) на 192.168.15.6 TeamViewer 12 - фризы отсутствуют; Radmin 3.4 - фризы отсутствуют; Тестировал следующим образом: открывал удаленное управление, потом пустой Word файл и зажимал буковку. Она бежит бежит... А потом бац... все замирает в это время ни на что нажать нельзя, а потом отлипнет и бежит дальше, так визуально, учитывая неизвестность причины, проще всего поймать "фриз". IP у всех белые, провайдеры разные. Получается на стабильных прошивках роде все ок... а тут непонятно куда копать! А пяток туннелей и прочие штуки ой как надо! Edited December 22, 2016 by cbloner орфография Quote Link to comment Share on other sites More sharing options...
CBLoner Posted December 30, 2016 Author Share Posted December 30, 2016 Есть смысл тестить на 2.09? Она стабильна? А то всю работу повалить боюсь!Отправлено с моего iPad используя Tapatalk Quote Link to comment Share on other sites More sharing options...
CBLoner Posted January 3, 2017 Author Share Posted January 3, 2017 Обновил свой на последнюю 2.09. Клиента не трогал. Фризы остались.... Ужас какой-то.... можно понять из-за чего они вылетают? Quote Link to comment Share on other sites More sharing options...
KorDen Posted January 4, 2017 Share Posted January 4, 2017 Может немного глупое предложение.. Но зачем вам DES/MD5, при двух ультрах? AES-128/SHA1 прекрасно ускоряется аппаратно и с ними лично у меня фризов не замечалось, кроме как при пересогласовании. Quote Link to comment Share on other sites More sharing options...
CBLoner Posted January 5, 2017 Author Share Posted January 5, 2017 @KorDen MD5 и SHA это хэши генерируются. А вот что конкретно аппаратно кодирует Keenetic? DES, 3DES, AES-128 или AES-256? Там что-то типа отдельного чипа/сопроцессора или как-то ядро под это заточено? Реально быстрее быстрее шифрует? Завтра попробую в связке AES-128/SHA1 - Отпишусь? А кстати, минимальная потеря пропускной способности канала при каком шифровании? Ну кроме никакого! Quote Link to comment Share on other sites More sharing options...
r13 Posted January 5, 2017 Share Posted January 5, 2017 21 минуту назад, cbloner сказал: @KorDen MD5 и SHA это хэши генерируются. А вот что конкретно аппаратно кодирует Keenetic? DES, 3DES, AES-128 или AES-256? Там что-то типа отдельного чипа/сопроцессора или как-то ядро под это заточено? Реально быстрее быстрее шифрует? Завтра попробую в связке AES-128/SHA1 - Отпишусь? А кстати, минимальная потеря пропускной способности канала при каком шифровании? Ну кроме никакого! Там отдельный блок процессора аппаратно шифрует и хешы считает Если обрабатывается им то это и будет минимальная потеря пропускной способности. Разница в производительности для разных алгоритмов шифрования в пределах погрешности. В cli включается crypto engine hardware Quote Link to comment Share on other sites More sharing options...
CBLoner Posted January 5, 2017 Author Share Posted January 5, 2017 Я имел ввиду, что шифрование добавляет некоторую порцию служебной информации... НУ скажем БАЗА + 2% на обертку шифрования. Итого 2-3% от ширины канала на шифрование. Вот хотел узнать, какой алгоритм, какой аппетит имеет! Только через CLI включается? Из веба убрали? Quote Link to comment Share on other sites More sharing options...
CBLoner Posted January 5, 2017 Author Share Posted January 5, 2017 crypto engine hardware включен Попробовал на SHA1/AES-128 все равно спотыкается раз в 30-40 секунд.... Чё делать.... на 2.07 такого нет! P.S. А MD5/DES он что, аппаратно не шифрует? Quote Link to comment Share on other sites More sharing options...
KorDen Posted January 5, 2017 Share Posted January 5, 2017 @cbloner шифрует и MD5/DES, я немного спутал (мне казалось, что EIP умеет только 3DES/AES/SHA), вот: В 27.08.2016 в 23:42, Le ecureuil сказал: Есть две версии crypto engine. Первая: EIP93. Этот блок умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход (то есть IPsec пакет обрабатывается целиком за одни такт). Этот блок стоит в RT6856 и в MT7621. Вторая: AES Crypto engine. Этот блок умеет только AES ECB/CBC, и все. Этот блок стоит в MT7628. EIP93 стоит в Keenetic II, Giga II, Ultra и поддерживается в 2.06. По скорости - в идеале можно выжать до 170-200 Мбит/сек, от типа шифра и хэширования не зависит (на Keenetic II будет 100 Мбит/с). EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 330 Мбит/сек, от типа шифра и хэширования не зависит. AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно. Могу сильно ошибаться, но вроде бы шифрование на процент служебных данных не влияет. Т.е. в пакете есть фрагмент IPsec, и есть данные. Зашифрованы они (и как) или нет - не важно. Quote Link to comment Share on other sites More sharing options...
r13 Posted January 5, 2017 Share Posted January 5, 2017 (edited) 1 час назад, cbloner сказал: Я имел ввиду, что шифрование добавляет некоторую порцию служебной информации... НУ скажем БАЗА + 2% на обертку шифрования. Итого 2-3% от ширины канала на шифрование. Вот хотел узнать, какой алгоритм, какой аппетит имеет! Только через CLI включается? Из веба убрали? В вебе никогда не было этой настройки. http://www.cisco.com/c/en/us/support/web/redirects/ipsec-overhead-calc.html (требуется регистрация) Edited January 5, 2017 by r13 Quote Link to comment Share on other sites More sharing options...
CBLoner Posted January 5, 2017 Author Share Posted January 5, 2017 @KorDen ну что-то из служебки он все равно добавит. Скажем шифруем один мегабайт, все равно ведь на сколько-то общий трафик вырастет? Или совсем незначительно?Я вспомнил что не было, сам полез в конфу смотреть Так откуда залипончики такие... не могу прям понять... а так с ними гадко админить! Каждые пол минуты сек на 10 зависаешь... жутко аж!Отправлено с моего iPad используя Tapatalk Quote Link to comment Share on other sites More sharing options...
r13 Posted January 16, 2017 Share Posted January 16, 2017 (edited) Как "извращенец" запустивший трансляцию IPTV через IPSEC туннель через интернет могу сказать что никаких фризов картинки нет, даже в hd Edited January 16, 2017 by r13 Quote Link to comment Share on other sites More sharing options...
CBLoner Posted January 16, 2017 Author Share Posted January 16, 2017 Беда в том, что есть второй клиент с ультрой2 и там такой же тоннель, тоже белый IP и даже намёка нет на фриз!!!Разница в провайдера и подсети IP! Даже перед ультрой в двух местах стоит zyxel es-2108g, на котором только включена функция ограничения скорости порта! У них даже прошивки одинаковые! Ругаться с провайдером!? Ну нужна хоть какая зацепка, что это такое может быть в сети Ростелекома!?Вот башку уже сломал!Отправлено с моего iPad используя Tapatalk Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted January 17, 2017 Share Posted January 17, 2017 12 часа назад, cbloner сказал: Беда в том, что есть второй клиент с ультрой2 и там такой же тоннель, тоже белый IP и даже намёка нет на фриз!!! Разница в провайдера и подсети IP! Даже перед ультрой в двух местах стоит zyxel es-2108g, на котором только включена функция ограничения скорости порта! У них даже прошивки одинаковые! Ругаться с провайдером!? Ну нужна хоть какая зацепка, что это такое может быть в сети Ростелекома!? Вот башку уже сломал! Отправлено с моего iPad используя Tapatalk Вооооот! С этого и нужно было начинать! Попробуйте эту бяку выключить. IPsec чувствителен к потере или переупорядочиванию пакетов с данными, возможно вам свитч мешает жить. Quote Link to comment Share on other sites More sharing options...
CBLoner Posted January 17, 2017 Author Share Posted January 17, 2017 А вот проблема его выковырять, все восемь портов делят один канал. Может как нить в выходные напрямую и проверю - тогда отпишусь!А как bandwidth на вход исход порта может повлиять? Он перестраивает пакеты? Я думал он их в очередь по порядку просто ставит!Отправлено с моего iPad используя Tapatalk Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted January 17, 2017 Share Posted January 17, 2017 7 минут назад, cbloner сказал: А вот проблема его выковырять, все восемь портов делят один канал. Может как нить в выходные напрямую и проверю - тогда отпишусь! А как bandwidth на вход исход порта может повлиять? Он перестраивает пакеты? Я думал он их в очередь по порядку просто ставит! Отправлено с моего iPad используя Tapatalk Он может дропать пакеты, а любой дроп - это нарушение SequenceID и инициализационного вектора, нужно их снова пересогласовать. Quote Link to comment Share on other sites More sharing options...
CBLoner Posted January 17, 2017 Author Share Posted January 17, 2017 А как в шарке искать дропнутые пакеты? Какое у них признак? Спрашиваю, так как эту тему ещё не дебагил Отправлено с моего iPad используя Tapatalk Quote Link to comment Share on other sites More sharing options...
Le ecureuil Posted January 17, 2017 Share Posted January 17, 2017 2 часа назад, cbloner сказал: А как в шарке искать дропнутые пакеты? Какое у них признак? Спрашиваю, так как эту тему ещё не дебагил Отправлено с моего iPad используя Tapatalk Прогалы между значениями для соседних пакетов в поле "Sequence number": Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.