Jump to content
Как правильно добавить self-test и прочую отладку в тему

Проблемы с IPsec VPN

KorDen
 Share

Recommended Posts

KorDen Honored Flooder

KorDen

Posted
Posted

Вступление: Есть туннель между Ultra 2 (сейчас v2.07(AAUX.2)B1) и Giga 2 (v2.06(AAFS.1)B4). Эпизодически подключается вторая Giga 2 на аналогичной прошивке, но пока только для экспериментов.

crypto ike proposal ABC
   encryption aes-cbc-128
   dh-group 15
   integrity sha1
crypto ike policy ABC
   proposal ABC
   lifetime 3600
   mode ikev2
crypto ipsec transform-set ABC
   cypher esp-aes-128
   hmac esp-sha1-hmac
   dh-group 15
   lifetime 3600
crypto ipsec profile ABC
   dpd-interval 30
   identity-local email a@a.a
   match-identity-remote any
   authentication-local pre-share
   mode tunnel
   policy ABC

Первая, и основная проблема, сохраняющаяся практически с первых версий прошивок с поддержкой IPseс - спустя некоторое время (несколько часов) начинаются бесконечные пересогласования туннеля каждые 2 секунды, как следствие - потери пакетов в туннеле и ощутимая нагрузка на Giga 2. Решается перевключением no service ipsec / service ipsec. Self-test с обоих устройств отправлен L'ecureuil в ЛС.

Вторая, правда не проверявшаяся на последних 2.06 - при активном использовании туннеля, например при копировании файла по SMB/FTP между компьютерами в разных локалках, когда скорость доходит до ~13-14 МБайт/с (везде гигабит) проц Giga 2 уходит в потолок и вебморда перестает открываться до падения нагрузки.

Еще мелочь - так и не убрали (по крайней мере из вебморды) неподдерживаемый SHA-256 в SA на 2.6.22

Link to comment
Share on other sites
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
Вступление: Есть туннель между Ultra 2 (сейчас v2.07(AAUX.2)B1) и Giga 2 (v2.06(AAFS.1)B4). Эпизодически подключается вторая Giga 2 на аналогичной прошивке, но пока только для экспериментов.
crypto ike proposal ABC
   encryption aes-cbc-128
   dh-group 15
   integrity sha1
crypto ike policy ABC
   proposal ABC
   lifetime 3600
   mode ikev2
crypto ipsec transform-set ABC
   cypher esp-aes-128
   hmac esp-sha1-hmac
   dh-group 15
   lifetime 3600
crypto ipsec profile ABC
   dpd-interval 30
   identity-local email a@a.a
   match-identity-remote any
   authentication-local pre-share
   mode tunnel
   policy ABC

Первая, и основная проблема, сохраняющаяся практически с первых версий прошивок с поддержкой IPseс - спустя некоторое время (несколько часов) начинаются бесконечные пересогласования туннеля каждые 2 секунды, как следствие - потери пакетов в туннеле и ощутимая нагрузка на Giga 2. Решается перевключением no service ipsec / service ipsec. Self-test с обоих устройств отправлен L'ecureuil в ЛС.

Вторая, правда не проверявшаяся на последних 2.06 - при активном использовании туннеля, например при копировании файла по SMB/FTP между компьютерами в разных локалках, когда скорость доходит до ~13-14 МБайт/с (везде гигабит) проц Giga 2 уходит в потолок и вебморда перестает открываться до падения нагрузки.

Еще мелочь - так и не убрали (по крайней мере из вебморды) неподдерживаемый SHA-256 в SA на 2.6.22

Насчет первого - в работе, на ближайшие месяцы предстоит серьезный пакет переделок по IPsec.

Насчет второго - или включайте crypto engine hardware, или если не помогает - то только смириться. :) Шейпер в сочетании с IPsec никто не проверял, но можете попрбовать на уровне 10-12 Мбайт/сек ограничить скорость передачи.

Link to comment
Share on other sites
KorDen Honored Flooder

KorDen

Posted
  • Author
Posted
Насчет первого - в работе, на ближайшие месяцы предстоит серьезный пакет переделок по IPsec.

Насчет второго - или включайте crypto engine hardware, или если не помогает - то только смириться. :) Шейпер в сочетании с IPsec никто не проверял, но можете попрбовать на уровне 10-12 Мбайт/сек ограничить скорость передачи.

По первому (пересогласования) - нет вариантов, как пока можно попробовать избежать проблему настройками?

По второму - без hw было где-то 30 мбит/с с загрузкой ЦП Giga 2 в потолок, с ним чуть выше сотни. Пока с большой нагрузкой много не тестировали, т.к. использовать постоянно мешает п.1

Link to comment
Share on other sites
  • 1 month later...
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted

Вроде бы найден и устранен источник проблем с постоянным пересогласованием, должно быть хорошо в следующих пятничных сборках 2.08 и 2.06. В 2.07 пока не стали переносить из-за возможных сайд-эффектов, потому что 2.07 на полном пути к стабильной версии.

Всем просьба проверить "ушла" ли проблема с бесконечным пересогласованием или нет.

  • Thanks 2
Link to comment
Share on other sites
Le ecureuil Honored Flooder

Le ecureuil

Posted
Posted
В 8/10/2016 в 10:07, KorDen сказал:

Ради интереса проверил наличие проблемы после обновления strongswan на Ultra 2 (v2.08(AAUX.1)A2 <-> v2.06(AAFS.9)B4) - проблема сохраняется

Ну как на новых версиях, проблема сохраняется? Необходимо обновить обе прошивки.

  • Thanks 1
Link to comment
Share on other sites
KorDen Honored Flooder

KorDen

Posted
  • Author
Posted
1 час назад, Le ecureuil сказал:

Ну как на новых версиях, проблема сохраняется? Необходимо обновить обе прошивки.

Линк поднят около 4 часов назад, пока проблемы нет, пересогласования раз в час как обычно. Ранее он начинал бесконечно пересогласовывать спустя 2-3 часа вроде бы. Наблюдаю...

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...