Jump to content

Странные фризы на IPSEC VPN


Recommended Posts

Есть два разных IPSEC канала:

1. ULTRA II - ULTRA II (на текщий момент один и тот же последний 12й DRAFT, IP белые)

2. ULTRA II - NetGear FVS318 (12й DRAFT, IP белые)

Суть проблемы: админю компы через Teamviewer и Radmin 3.4. Доступ и там и там по локальным IP. В процессе работы, где-то раз в минуту, канал замирает, связь не обрывается, но жму на клавиши и мышь ноль реакции. Потом через 3-10 секунд, как будто отлипает и продолжаю работать - через минуту опять повтор. Думал глюк, открыл Word и нажал на букву, побежал автоповтор, бац... провал секунд на 10, потом опять побежала буковка по документу.

Если через внешний IP прокидывать порт, для Radmin, то пауз совсем не наблюдается! Ошибок в журнале нет! Но и комфортной работы нет!

ЧаВо это может быть такое?

Link to comment
Share on other sites

Извиняюсь за вопрос, но где это посмотреть?

И self-test врубать сразу как отвиснет или сначала запустить и тормознуть секунд через 30 после "отлипания". Трудно будет Отплит - побежал - включил.... ;-)

Link to comment
Share on other sites

Вот настройки IPSEC и селф тесты.

В одном сразу снял после залипания. В другом пока все работает, а потом два раза залипало.

crypto engine hardware - это используется ли шифрование в туннеле? 

2016-12-12___До-фриза-включая-2-зависания_self-test.txt

2016-12-12___Настройки-IPSEC.jpg

2016-12-12___Сразу-после-фриза_self-test.txt

Link to comment
Share on other sites

Есть предположения? Жить конечно можно, но комфорту мало :(((


Отправлено с моего iPad используя Tapatalk

Link to comment
Share on other sites

Умерла тема? Ни подскажет никто? Работать можно, но раз в минуту зависоны секунд на 5-10 слегка отмораживают!

ХЭЛП! :eek:

Link to comment
Share on other sites

10 часов назад, cbloner сказал:

Умерла тема? Ни подскажет никто? Работать можно, но раз в минуту зависоны секунд на 5-10 слегка отмораживают!

ХЭЛП! :eek:

Не можем воспроизвести вашу ситауцию, нужно больше данных. И ждем еще обращений от пользователей.

  • Thanks 1
Link to comment
Share on other sites

Может я смогу предоставить еще больше данных... готов поснимать дампы и все такое...

Просто у меня как минимум мой ULTRA2 и у клиентов таких же  штуки. Сейчас у еще одного будет +1.

Интернет у всех разный, а ситуация одинаковая. Боюсь что такое не все заметят... я всегда любил находить специфические фичи! :grin:

Link to comment
Share on other sites

49 минут назад, cbloner сказал:

Может я смогу предоставить еще больше данных... готов поснимать дампы и все такое...

Просто у меня как минимум мой ULTRA2 и у клиентов таких же  штуки. Сейчас у еще одного будет +1.

Интернет у всех разный, а ситуация одинаковая. Боюсь что такое не все заметят... я всегда любил находить специфические фичи! :grin:

Можете проверить на самой свежей 2.07?

Link to comment
Share on other sites

Вечером попробую... когда все по домам уйдут. Нулить надо с 2.08 или пережует конфу туда сюда!?

Link to comment
Share on other sites

1 минуту назад, cbloner сказал:

Вечером попробую... когда все по домам уйдут. Нулить надо с 2.08 или пережует конфу туда сюда!?

По идее ничего сломаться не должно.

Link to comment
Share on other sites

    1. Мой ULTRA2 v2.07(AAUX.5)C3 (Сторона "А", 192.168.10.0/24) -> Клиент ULTRA2 v2.08(AAUX.4)A12 (Сторона "Б", 192.168.15.0/24)
        IPSEC VPN (Phase 1 - DES/MD5/DH-1 [IKEv1, 86400, MainMode], Phase 2 - DES/MD5/DH-1 [Tunnel, SA 28800])
            а) Из сети, 192.168.10.1 -> 192.168.15.6 (Через Тунель)
                TeamViewer 12    -    фризы каждые 40-45 секунд, с паузой 3-7 секунд;
                Radmin 3.4        -    фризы каждые 40-45 секунд, с паузой 3-7 секунд;
            б) Из сети, 192.168.10.1 -> 213.*.*.* пробросив порт 4899 (radmin) и 5938 (TeamViwer) на 192.168.15.6
                TeamViewer 12    -    фризы отсутствуют;
                Radmin 3.4        -    фризы отсутствуют;
                
    2. Заменил прошивку на Стороне "Б" на v2.07(AAUX.5)C3
        IPSEC VPN (Phase 1 - DES/MD5/DH-1 [IKEv1, 86400, MainMode], Phase 2 - DES/MD5/DH-1 [Tunnel, SA 28800])
            а) Из сети, 192.168.10.1 -> 192.168.15.6 (Через Тунель)
                TeamViewer 12    -    фризы отсутствуют;
                Radmin 3.4        -    фризы отсутствуют;
            б) Из сети, 192.168.10.1 -> 213.*.*.* пробросив порт 4899 (radmin) и 5938 (TeamViwer) на 192.168.15.6
                TeamViewer 12    -    фризы отсутствуют;
                Radmin 3.4        -    фризы отсутствуют;
                
    3. Заменил прошивку на Стороне "А" и "Б" на v2.08(AAUX.4)A12
        IPSEC VPN (Phase 1 - DES/MD5/DH-1 [IKEv1, 86400, MainMode], Phase 2 - DES/MD5/DH-1 [Tunnel, SA 28800])
            а) Из сети, 192.168.10.1 -> 192.168.15.6 (Через Тунель)
                TeamViewer 12    -    фризы каждые 40-55 секунд, с паузой 3-7 секунд;
                Radmin 3.4        -    фризы каждые 40-55 секунд, с паузой 3-7 секунд;
            б) Из сети, 192.168.10.1 -> 213.*.*.* пробросив порт 4899 (radmin) и 5938 (TeamViwer) на 192.168.15.6
                TeamViewer 12    -    фризы отсутствуют;
                Radmin 3.4        -    фризы отсутствуют;
                
    
    Тестировал следующим образом: открывал удаленное управление, потом пустой Word файл и зажимал буковку. Она бежит бежит... А потом бац... все замирает
    в это время ни на что нажать нельзя, а потом отлипнет и бежит дальше, так визуально, учитывая неизвестность причины, проще всего поймать "фриз".
    
    IP у всех белые, провайдеры разные.

Получается на стабильных прошивках роде все ок... а тут непонятно куда копать! А пяток туннелей и прочие штуки ой как надо!

Edited by cbloner
орфография
Link to comment
Share on other sites

  • 2 weeks later...

Есть смысл тестить на 2.09? Она стабильна? А то всю работу повалить боюсь!


Отправлено с моего iPad используя Tapatalk

Link to comment
Share on other sites

Обновил свой на последнюю 2.09. Клиента не трогал. Фризы остались.... Ужас какой-то.... можно понять из-за чего они вылетают?

Link to comment
Share on other sites

Может немного глупое предложение.. Но зачем вам DES/MD5, при двух ультрах? AES-128/SHA1 прекрасно ускоряется аппаратно и с ними лично у меня фризов не замечалось, кроме как при пересогласовании.

Link to comment
Share on other sites

@KorDen MD5 и SHA это хэши генерируются. А вот что конкретно аппаратно кодирует Keenetic? DES, 3DES, AES-128 или AES-256?

Там что-то типа отдельного чипа/сопроцессора или как-то ядро под это заточено? Реально быстрее быстрее шифрует?

Завтра попробую в связке AES-128/SHA1 - Отпишусь?

А кстати, минимальная потеря пропускной способности канала при каком шифровании? Ну кроме никакого! :D

Link to comment
Share on other sites

21 минуту назад, cbloner сказал:

@KorDen MD5 и SHA это хэши генерируются. А вот что конкретно аппаратно кодирует Keenetic? DES, 3DES, AES-128 или AES-256?

Там что-то типа отдельного чипа/сопроцессора или как-то ядро под это заточено? Реально быстрее быстрее шифрует?

Завтра попробую в связке AES-128/SHA1 - Отпишусь?

А кстати, минимальная потеря пропускной способности канала при каком шифровании? Ну кроме никакого! :D

Там отдельный блок процессора аппаратно шифрует и хешы считает

Если обрабатывается им то это и будет минимальная потеря пропускной способности. Разница в производительности для разных алгоритмов шифрования в пределах погрешности. 

В cli включается crypto engine hardware

Link to comment
Share on other sites

Я имел ввиду, что шифрование добавляет некоторую порцию служебной информации... НУ скажем БАЗА + 2% на обертку шифрования. Итого 2-3% от ширины канала на шифрование. Вот хотел узнать, какой алгоритм, какой аппетит имеет!

Только через CLI включается? Из веба убрали?

Link to comment
Share on other sites

crypto engine hardware включен

Попробовал на SHA1/AES-128 все равно спотыкается раз в 30-40 секунд.... Чё делать.... на 2.07 такого нет!

P.S. А MD5/DES он что, аппаратно не шифрует?

Link to comment
Share on other sites

@cbloner шифрует и MD5/DES, я немного спутал (мне казалось, что EIP умеет только 3DES/AES/SHA), вот:

В 27.08.2016 в 23:42, Le ecureuil сказал:

Есть две версии crypto engine.

Первая: EIP93. Этот блок умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход (то есть IPsec пакет обрабатывается целиком за одни такт). Этот блок стоит в RT6856 и в MT7621.

Вторая: AES Crypto engine. Этот блок умеет только AES ECB/CBC, и все. Этот блок стоит в MT7628.

EIP93 стоит в Keenetic II, Giga II, Ultra и поддерживается в 2.06. По скорости - в идеале можно выжать до 170-200 Мбит/сек, от типа шифра и хэширования не зависит (на Keenetic II будет 100 Мбит/с).

EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 330 Мбит/сек, от типа шифра и хэширования не зависит.

AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08.  По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно.

 

Могу сильно ошибаться, но вроде бы шифрование на процент служебных данных не влияет. Т.е. в пакете есть фрагмент IPsec, и есть данные. Зашифрованы они (и как) или нет - не важно.

Link to comment
Share on other sites

1 час назад, cbloner сказал:

Я имел ввиду, что шифрование добавляет некоторую порцию служебной информации... НУ скажем БАЗА + 2% на обертку шифрования. Итого 2-3% от ширины канала на шифрование. Вот хотел узнать, какой алгоритм, какой аппетит имеет!

Только через CLI включается? Из веба убрали?

В вебе никогда не было этой настройки. 

http://www.cisco.com/c/en/us/support/web/redirects/ipsec-overhead-calc.html (требуется регистрация)

Edited by r13
Link to comment
Share on other sites

@KorDen ну что-то из служебки он все равно добавит. Скажем шифруем один мегабайт, все равно ведь на сколько-то общий трафик вырастет? Или совсем незначительно?

Я вспомнил что не было, сам полез в конфу смотреть :-)

Так откуда залипончики такие... не могу прям понять... а так с ними гадко админить! Каждые пол минуты сек на 10 зависаешь... жутко аж!


Отправлено с моего iPad используя Tapatalk

Link to comment
Share on other sites

  • 2 weeks later...

Как "извращенец" запустивший трансляцию IPTV через IPSEC туннель через интернет могу сказать что никаких фризов картинки нет, даже в hd

 

Edited by r13
Link to comment
Share on other sites

Беда в том, что есть второй клиент с ультрой2 и там такой же тоннель, тоже белый IP и даже намёка нет на фриз!!!
Разница в провайдера и подсети IP! Даже перед ультрой в двух местах стоит zyxel es-2108g, на котором только включена функция ограничения скорости порта! У них даже прошивки одинаковые!
Ругаться с провайдером!? Ну нужна хоть какая зацепка, что это такое может быть в сети Ростелекома!?
Вот башку уже сломал!


Отправлено с моего iPad используя Tapatalk

Link to comment
Share on other sites

12 часа назад, cbloner сказал:

Беда в том, что есть второй клиент с ультрой2 и там такой же тоннель, тоже белый IP и даже намёка нет на фриз!!!
Разница в провайдера и подсети IP! Даже перед ультрой в двух местах стоит zyxel es-2108g, на котором только включена функция ограничения скорости порта! У них даже прошивки одинаковые!
Ругаться с провайдером!? Ну нужна хоть какая зацепка, что это такое может быть в сети Ростелекома!?
Вот башку уже сломал!


Отправлено с моего iPad используя Tapatalk

Вооооот! С этого и нужно было начинать!

Попробуйте эту бяку выключить.

IPsec чувствителен к потере или переупорядочиванию пакетов с данными, возможно вам свитч мешает жить.

Link to comment
Share on other sites

А вот проблема его выковырять, все восемь портов делят один канал. Может как нить в выходные напрямую и проверю - тогда отпишусь!
А как bandwidth на вход исход порта может повлиять? Он перестраивает пакеты? Я думал он их в очередь по порядку просто ставит!


Отправлено с моего iPad используя Tapatalk

Link to comment
Share on other sites

7 минут назад, cbloner сказал:

А вот проблема его выковырять, все восемь портов делят один канал. Может как нить в выходные напрямую и проверю - тогда отпишусь!
А как bandwidth на вход исход порта может повлиять? Он перестраивает пакеты? Я думал он их в очередь по порядку просто ставит!


Отправлено с моего iPad используя Tapatalk

Он может дропать пакеты, а любой дроп - это нарушение SequenceID и инициализационного вектора, нужно их снова пересогласовать.

Link to comment
Share on other sites

А как в шарке искать дропнутые пакеты? Какое у них признак? Спрашиваю, так как эту тему ещё не дебагил :)


Отправлено с моего iPad используя Tapatalk

Link to comment
Share on other sites

2 часа назад, cbloner сказал:

А как в шарке искать дропнутые пакеты? Какое у них признак? Спрашиваю, так как эту тему ещё не дебагил :)


Отправлено с моего iPad используя Tapatalk

Прогалы между значениями для соседних пакетов в поле "Sequence number":

ESP Tunnel packet

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...