Jump to content

Recommended Posts

Всем привет. Коллеги, ваши варианты решения проблемы: есть два роутера Zyxel Keenetic Giga II (прошивки 2.11.C.1.0-3 на обоих) . На Wan интерфейсах обоих железок (точнее пластмассок) белые ip-адреса. Между ними поднят IPSec, всё работает, пинги бегают, ПК за NAT`ом видятся с обоих сторон. На VPN - сервере канал интернета 200 Мбит/с, на клиенте - 70 Мбит/с. Giga (vpn-сервер) находится за GPON роутером МГТС, который переведён в режим бридж. Так вот, если кидаю файл с сервера на клиент (общая папка на ПК на стороне клиента), то скорость загрузки не превышает 10-11 Мбит/с (скрины прилагаю), а если с клиента на сервер ( и в общую папку на ПК за ВПН сервером, и на hdd, подключенный к роутеру), то до 50-60 Мбит/сек. Может сменить метод шифрования ( какой лучше выбрать для каждой фазы и какую группу Диффи выбрать)? Проц выше 35% на обоих роутерах не загружается.И второй момент: если в настройках IPSec перевожу на транспортный режим, то туннель не поднимается, селф тест и отладку могу приложить.

ay5z4RtjtKo.jpg

Kkfj_87u-U4.jpg

MNWivup1JKg.jpg

Edited by stefbarinov@mail.ru
Link to comment
Share on other sites

Если перевожу туннель в транспортный режим, то начинают сыпаться ошибки. В какую сторону рыть? Или для транспортного режима нужно создавать правила для Gre?

Screenshot_3.jpg

Screenshot_client.jpg

Screenshot_srv.jpg

Edited by stefbarinov@mail.ru
Link to comment
Share on other sites

Транспортный режим без инкапсуляции. соответственно через интернет между серыми подсетями не применим. 

Link to comment
Share on other sites

6 минут назад, r13 сказал:

Транспортный режим без инкапсуляции. соответственно через интернет между серыми подсетями не применим. 

Так у меня на WAN-интерфейсах белые адреса, я это указал в описании. Пробовал поднимать разные туннели (IPSec VPN в режиме TUNNEL (на вкладке безопасность), GREoIPSec) - скорость приема/передачи файлов не изменна. Как через CLI в интерфейсе GRE0 удалить IPSec? Пробовал команду no ipsec ignore, но в show inter gre0 всё равно отображается ipsec enable

Edited by stefbarinov@mail.ru
Link to comment
Share on other sites

2 минуты назад, stefbarinov@mail.ru сказал:

Так у меня на WAN-интерфейсах белые адреса, я это указал в описании

так в транспортном их и надо указывать в локальной-удаленной сетях туннеля, и желательно чтоб они были статическими, чтоб туннель не перенастраивать при изменении адресов. 

Link to comment
Share on other sites

21 минуту назад, r13 сказал:

так в транспортном их и надо указывать в локальной-удаленной сетях туннеля, и желательно чтоб они были статическими, чтоб туннель не перенастраивать при изменении адресов. 

То есть под цифрами 1-4 должны быть указаны внешние белые адреса? И когда поднимаю GREoIPSec через CLI, то по умолчанию он в транспортном режиме работает? 

Screenshot5.jpg

Screenshot6.jpg

Edited by stefbarinov@mail.ru
Link to comment
Share on other sites

для транспортного для 3 и 4 в вашем случае должны быть внешние адреса. и да для туннелей типа gre over ipsec автоматом настраивается транспортный режим. 

Link to comment
Share on other sites

Сп

3 минуты назад, r13 сказал:

для транспортного для 3 и 4 в вашем случае должны быть внешние адреса. и да для туннелей типа gre over ipsec автоматом настраивается транспортный режим. 

Спасибо за ответ. Как всё-таки ручками из cli отключить ipsec в интерфейсе gre? И как удалить интерфейс gre? Или достаточно down?

Edited by stefbarinov@mail.ru
Link to comment
Share on other sites

5 минут назад, r13 сказал:

для транспортного для 3 и 4 в вашем случае должны быть внешние адреса. и да для туннелей типа gre over ipsec автоматом настраивается транспортный режим. 

Если для 3 и 4 выставить внешние белые адреса, то какую маску указывать? /30?

Link to comment
Share on other sites

все 255, точка-точка, только зачем это вам? используйте gre или ipip over ipsec. 

Link to comment
Share on other sites

1 минуту назад, r13 сказал:

все 255, точка-точка, только зачем это вам? используйте gre или ipip over ipsec. 

На gre over ipsec и решил остановиться, только не знаю, как из cli откл ipsec? Хотел потестировать скорость в туннеле без ipsec

 

Link to comment
Share on other sites

12 минуты назад, stefbarinov@mail.ru сказал:

На gre over ipsec и решил остановиться, только не знаю, как из cli откл ipsec? Хотел потестировать скорость в туннеле без ipsec

 

просто не вводите команды начинающиеся на ipsec при настройке туннеля и будет просто gre туннель. в обратном случае будет gre over ipsec

Link to comment
Share on other sites

Только что, r13 сказал:

просто не вводите команды начинающиеся на ipsec при настройке туннеля и будет просто gre туннель. в обратном случае будет gre over ipsec

Логично) Но как убрать ipsec из уже имеющего конфига? Править startup-config и заливать на рутер или создавать новый интерфейс, но уже без ipsec?

Link to comment
Share on other sites

4 минуты назад, r13 сказал:

команды с префиксом no вводить

Пробовал бесполезно, в конфиге всё равно остается  ipsec-enabled: yes

Link to comment
Share on other sites

14 минуты назад, stefbarinov@mail.ru сказал:

Пробовал бесполезно, в конфиге всё равно остается  ipsec-enabled: yes

с этим разобрался, но странность в том, что после отключения ipsec`а скорость осталась неизменной в оба конца туннеля)) 

Screenshot7.jpg

Link to comment
Share on other sites

24 минуты назад, r13 сказал:

команды с префиксом no вводить

с этим разобрался, но странность в том, что после отключения ipsec`а скорость осталась неизменной в оба конца туннеля)) Прыгает 3,5 - 8 Мбайт/сек (загрузка CPU при этом не более 50% на обоих рутерах

Screenshot7.jpg

Edited by stefbarinov@mail.ru
Link to comment
Share on other sites

6 минут назад, r13 сказал:

то биш в полку, процессор двухпоточный

На какой лучше сменить: Ультра 2 или Гига 3? У ультры привлекает 2 ядра, но по тестам она вроде практически идентична Гиге 3

Link to comment
Share on other sites

1 час назад, stefbarinov@mail.ru сказал:

На какой лучше сменить: Ультра 2 или Гига 3? У ультры привлекает 2 ядра, но по тестам она вроде практически идентична Гиге 3

попробуйте для начала ipip туннель

Link to comment
Share on other sites

17 часов назад, r13 сказал:

попробуйте для начала ipip туннель

ipip вообще показал самую маленькую пропускную способность, порядка 2Мбайт/с в обе стороны, пришлось отказаться от него и заново настроить IPSec VPN на вкладке безопасность (скорость с сервера на клиент 6 - 8 МБайт/с, в обратку - 3 - 4 Мбайт/с.

Link to comment
Share on other sites

В вашем случае либо

а) IPsec в туннельном режиме, ориентировочно AES128-SHA1 / DH14 во второй фазе пожалуй будет достаточно, в первой максимум AES256/SHA256, выше смысла нет. Транспортный режим вручную настраивать смысла нет, если не понимаете до конца как это все работает.

б) автоматический туннель IPIPoverIPsec, пример настройки скажем тут - https://forum.keenetic.net/topic/4562-объединение-2-ух-интернет-центров-какой-туннель-оптимальнее/?do=findComment&comment=53412

У Gre/EoIP оверхед выше, и в общем случае они не нужны

Из моей практики - на Giga II IPIPoverIPsec IKEv2 спокойно жует чуть больше 100 мбит/с в обе стороны (по отдельности конечно).

Link to comment
Share on other sites

1 час назад, KorDen сказал:

В вашем случае либо

а) IPsec в туннельном режиме, ориентировочно AES128-SHA1 / DH14 во второй фазе пожалуй будет достаточно, в первой максимум AES256/SHA256, выше смысла нет. Транспортный режим вручную настраивать смысла нет, если не понимаете до конца как это все работает.

б) автоматический туннель IPIPoverIPsec, пример настройки скажем тут - https://forum.keenetic.net/topic/4562-объединение-2-ух-интернет-центров-какой-туннель-оптимальнее/?do=findComment&comment=53412

У Gre/EoIP оверхед выше, и в общем случае они не нужны

Из моей практики - на Giga II IPIPoverIPsec IKEv2 спокойно жует чуть больше 100 мбит/с в обе стороны (по отдельности конечно).

Спасибо за отзыв, попробую настроить по вашей ссылке из пункта "б" и поэкспериментировать со скоростью.

Edited by stefbarinov@mail.ru
Link to comment
Share on other sites

Так и не могу победить проблему: от сервера (200 Мб/с) на клиент (70Мб/с) скорость в туннеле 1.5 - 2 МБайт/с, с клиента на сервер 6-8 Мбайт/с. Пробовал разные виды туннелей, с шифрованием и без, но увы. Провайдер сказал, что скорость не режет, но рекомендовал для туннеля gre  иметь статический белый айпи. У меня белая динамика

Link to comment
Share on other sites

39 минут назад, stefbarinov@mail.ru сказал:

Так и не могу победить проблему: от сервера (200 Мб/с) на клиент (70Мб/с) скорость в туннеле 1.5 - 2 МБайт/с, с клиента на сервер 6-8 Мбайт/с. Пробовал разные виды туннелей, с шифрованием и без, но увы. Провайдер сказал, что скорость не режет, но рекомендовал для туннеля gre  иметь статический белый айпи. У меня белая динамика

поснимайте пакеты в разные стороны и посравнивайте в чем отличие. 

Link to comment
Share on other sites

1 минуту назад, stefbarinov@mail.ru сказал:

wireshark`ом?

в кинетиках есть встроенный захват пакетов(компонент). 

Link to comment
Share on other sites

Только что, r13 сказал:

в кинетиках есть встроенный захват пакетов(компонент). 

Понял, попробую. Ради эксперимента, подключил статический ip, щас подниму ipip over ipsec,посмотрим, что покажет)

Link to comment
Share on other sites

Только что, stefbarinov@mail.ru сказал:

Понял, попробую. Ради эксперимента, подключил статический ip, щас подниму ipip over ipsec,посмотрим, что покажет)

статика врядли поможет :)   mtu с обоих сторон одинаковый?

Link to comment
Share on other sites

10 минут назад, r13 сказал:

статика врядли поможет :)   mtu с обоих сторон одинаковый?

Да мне тоже как кажется, но попробую, дабы не думалось) 

 

 

 

 

Screenshot_4.png

Screenshot_5.png

Edited by stefbarinov@mail.ru
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...