IPSec между двумя Giga II

[stefbarinov]

Всем привет. Коллеги, ваши варианты решения проблемы: есть два роутера Zyxel Keenetic Giga II (прошивки 2.11.C.1.0-3 на обоих) . На Wan интерфейсах обоих железок (точнее пластмассок) белые ip-адреса. Между ними поднят IPSec, всё работает, пинги бегают, ПК за NAT`ом видятся с обоих сторон. На VPN - сервере канал интернета 200 Мбит/с, на клиенте - 70 Мбит/с. Giga (vpn-сервер) находится за GPON роутером МГТС, который переведён в режим бридж. Так вот, если кидаю файл с сервера на клиент (общая папка на ПК на стороне клиента), то скорость загрузки не превышает 10-11 Мбит/с (скрины прилагаю), а если с клиента на сервер ( и в общую папку на ПК за ВПН сервером, и на hdd, подключенный к роутеру), то до 50-60 Мбит/сек. Может сменить метод шифрования ( какой лучше выбрать для каждой фазы и какую группу Диффи выбрать)? Проц выше 35% на обоих роутерах не загружается.И второй момент: если в настройках IPSec перевожу на транспортный режим, то туннель не поднимается, селф тест и отладку могу приложить.

Edited June 15, 2018 by stefbarinov@mail.ru

[stefbarinov]

Если перевожу туннель в транспортный режим, то начинают сыпаться ошибки. В какую сторону рыть? Или для транспортного режима нужно создавать правила для Gre?

Edited June 16, 2018 by stefbarinov@mail.ru

[r13]

Транспортный режим без инкапсуляции. соответственно через интернет между серыми подсетями не применим. 

[stefbarinov]

6 минут назад, r13 сказал:

Транспортный режим без инкапсуляции. соответственно через интернет между серыми подсетями не применим. 

Так у меня на WAN-интерфейсах белые адреса, я это указал в описании. Пробовал поднимать разные туннели (IPSec VPN в режиме TUNNEL (на вкладке безопасность), GREoIPSec) - скорость приема/передачи файлов не изменна. Как через CLI в интерфейсе GRE0 удалить IPSec? Пробовал команду no ipsec ignore, но в show inter gre0 всё равно отображается ipsec enable

Edited June 16, 2018 by stefbarinov@mail.ru

[r13]

2 минуты назад, stefbarinov@mail.ru сказал:

Так у меня на WAN-интерфейсах белые адреса, я это указал в описании

так в транспортном их и надо указывать в локальной-удаленной сетях туннеля, и желательно чтоб они были статическими, чтоб туннель не перенастраивать при изменении адресов. 

[stefbarinov]

21 минуту назад, r13 сказал:

так в транспортном их и надо указывать в локальной-удаленной сетях туннеля, и желательно чтоб они были статическими, чтоб туннель не перенастраивать при изменении адресов. 

То есть под цифрами 1-4 должны быть указаны внешние белые адреса? И когда поднимаю GREoIPSec через CLI, то по умолчанию он в транспортном режиме работает? 

Edited June 16, 2018 by stefbarinov@mail.ru

[r13]

для транспортного для 3 и 4 в вашем случае должны быть внешние адреса. и да для туннелей типа gre over ipsec автоматом настраивается транспортный режим. 

[stefbarinov]

Сп

3 минуты назад, r13 сказал:

для транспортного для 3 и 4 в вашем случае должны быть внешние адреса. и да для туннелей типа gre over ipsec автоматом настраивается транспортный режим. 

Спасибо за ответ. Как всё-таки ручками из cli отключить ipsec в интерфейсе gre? И как удалить интерфейс gre? Или достаточно down?

Edited June 16, 2018 by stefbarinov@mail.ru

[stefbarinov]

5 минут назад, r13 сказал:

для транспортного для 3 и 4 в вашем случае должны быть внешние адреса. и да для туннелей типа gre over ipsec автоматом настраивается транспортный режим. 

Если для 3 и 4 выставить внешние белые адреса, то какую маску указывать? /30?

[r13]

все 255, точка-точка, только зачем это вам? используйте gre или ipip over ipsec. 

[stefbarinov]

1 минуту назад, r13 сказал:

все 255, точка-точка, только зачем это вам? используйте gre или ipip over ipsec. 

На gre over ipsec и решил остановиться, только не знаю, как из cli откл ipsec? Хотел потестировать скорость в туннеле без ipsec

 

[r13]

12 минуты назад, stefbarinov@mail.ru сказал:

На gre over ipsec и решил остановиться, только не знаю, как из cli откл ipsec? Хотел потестировать скорость в туннеле без ipsec

 

просто не вводите команды начинающиеся на ipsec при настройке туннеля и будет просто gre туннель. в обратном случае будет gre over ipsec

[stefbarinov]

Только что, r13 сказал:

просто не вводите команды начинающиеся на ipsec при настройке туннеля и будет просто gre туннель. в обратном случае будет gre over ipsec

Логично) Но как убрать ipsec из уже имеющего конфига? Править startup-config и заливать на рутер или создавать новый интерфейс, но уже без ipsec?

[r13]

команды с префиксом no вводить

[stefbarinov]

4 минуты назад, r13 сказал:

команды с префиксом no вводить

Пробовал бесполезно, в конфиге всё равно остается  ipsec-enabled: yes

[stefbarinov]

14 минуты назад, stefbarinov@mail.ru сказал:

Пробовал бесполезно, в конфиге всё равно остается  ipsec-enabled: yes

с этим разобрался, но странность в том, что после отключения ipsec`а скорость осталась неизменной в оба конца туннеля)) 

[stefbarinov]

24 минуты назад, r13 сказал:

команды с префиксом no вводить

с этим разобрался, но странность в том, что после отключения ipsec`а скорость осталась неизменной в оба конца туннеля)) Прыгает 3,5 - 8 Мбайт/сек (загрузка CPU при этом не более 50% на обоих рутерах

Edited June 16, 2018 by stefbarinov@mail.ru

[r13]

то биш в полку, процессор двухпоточный

[stefbarinov]

6 минут назад, r13 сказал:

то биш в полку, процессор двухпоточный

На какой лучше сменить: Ультра 2 или Гига 3? У ультры привлекает 2 ядра, но по тестам она вроде практически идентична Гиге 3

[r13]

1 час назад, stefbarinov@mail.ru сказал:

На какой лучше сменить: Ультра 2 или Гига 3? У ультры привлекает 2 ядра, но по тестам она вроде практически идентична Гиге 3

попробуйте для начала ipip туннель

[stefbarinov]

17 часов назад, r13 сказал:

попробуйте для начала ipip туннель

ipip вообще показал самую маленькую пропускную способность, порядка 2Мбайт/с в обе стороны, пришлось отказаться от него и заново настроить IPSec VPN на вкладке безопасность (скорость с сервера на клиент 6 - 8 МБайт/с, в обратку - 3 - 4 Мбайт/с.

[KorDen]

В вашем случае либо

а) IPsec в туннельном режиме, ориентировочно AES128-SHA1 / DH14 во второй фазе пожалуй будет достаточно, в первой максимум AES256/SHA256, выше смысла нет. Транспортный режим вручную настраивать смысла нет, если не понимаете до конца как это все работает.

б) автоматический туннель IPIPoverIPsec, пример настройки скажем тут - https://forum.keenetic.net/topic/4562-объединение-2-ух-интернет-центров-какой-туннель-оптимальнее/?do=findComment&comment=53412

У Gre/EoIP оверхед выше, и в общем случае они не нужны

Из моей практики - на Giga II IPIPoverIPsec IKEv2 спокойно жует чуть больше 100 мбит/с в обе стороны (по отдельности конечно).

[stefbarinov]

1 час назад, KorDen сказал:

В вашем случае либо

а) IPsec в туннельном режиме, ориентировочно AES128-SHA1 / DH14 во второй фазе пожалуй будет достаточно, в первой максимум AES256/SHA256, выше смысла нет. Транспортный режим вручную настраивать смысла нет, если не понимаете до конца как это все работает.

б) автоматический туннель IPIPoverIPsec, пример настройки скажем тут - https://forum.keenetic.net/topic/4562-объединение-2-ух-интернет-центров-какой-туннель-оптимальнее/?do=findComment&comment=53412

У Gre/EoIP оверхед выше, и в общем случае они не нужны

Из моей практики - на Giga II IPIPoverIPsec IKEv2 спокойно жует чуть больше 100 мбит/с в обе стороны (по отдельности конечно).

Спасибо за отзыв, попробую настроить по вашей ссылке из пункта "б" и поэкспериментировать со скоростью.

Edited June 17, 2018 by stefbarinov@mail.ru

[stefbarinov]

Так и не могу победить проблему: от сервера (200 Мб/с) на клиент (70Мб/с) скорость в туннеле 1.5 - 2 МБайт/с, с клиента на сервер 6-8 Мбайт/с. Пробовал разные виды туннелей, с шифрованием и без, но увы. Провайдер сказал, что скорость не режет, но рекомендовал для туннеля gre  иметь статический белый айпи. У меня белая динамика

[r13]

39 минут назад, stefbarinov@mail.ru сказал:

Так и не могу победить проблему: от сервера (200 Мб/с) на клиент (70Мб/с) скорость в туннеле 1.5 - 2 МБайт/с, с клиента на сервер 6-8 Мбайт/с. Пробовал разные виды туннелей, с шифрованием и без, но увы. Провайдер сказал, что скорость не режет, но рекомендовал для туннеля gre  иметь статический белый айпи. У меня белая динамика

поснимайте пакеты в разные стороны и посравнивайте в чем отличие. 

[stefbarinov]

2 минуты назад, r13 сказал:

поснимайте пакеты в разные стороны и посравнивайте в чем отличие. 

wireshark`ом?

[r13]

1 минуту назад, stefbarinov@mail.ru сказал:

wireshark`ом?

в кинетиках есть встроенный захват пакетов(компонент). 

[stefbarinov]

Только что, r13 сказал:

в кинетиках есть встроенный захват пакетов(компонент). 

Понял, попробую. Ради эксперимента, подключил статический ip, щас подниму ipip over ipsec,посмотрим, что покажет)

[r13]

Только что, stefbarinov@mail.ru сказал:

Понял, попробую. Ради эксперимента, подключил статический ip, щас подниму ipip over ipsec,посмотрим, что покажет)

статика врядли поможет    mtu с обоих сторон одинаковый?

[stefbarinov]

10 минут назад, r13 сказал:

статика врядли поможет    mtu с обоих сторон одинаковый?

Да мне тоже как кажется, но попробую, дабы не думалось) 

 

 

 

 

Edited June 18, 2018 by stefbarinov@mail.ru