IPsec между двумя Keenetic Extra II - не проходит HTTP

[jappleseed89]

День добрый.

Между двумя Keenetic Extra II поднят IPsec VPN в режиме tunnel.

1. "Сервер" - публичный статический IP (сеть 192.168.1.0/24)
2. "Клиент" - серый IP (сеть 192.168.5.0/24)

Все настройки стандартные по мануалу.

Что потестировал - работает без проблем ping, smb в обе стороны
Работает http до веб-интерфейсов keenetic-ов в обе стороны.

А вот с HTTP до веб-сервисов (по ip адресам), находящимися за кинетиками ситуация следующая:
Из сети "сервера" достучаться можно.
А из сети "клиента" - ни один http за "сервером" не отвечает. Хотя ping и smb проходит.

Никаких правил межсетевого экрана, переадресаций и маршрутизации на кинетиках не настроено.

В чем может быть проблема?

[jappleseed89]

Проблема разрешилась сама по себе, возможно после одновременной перезагрузки всех устройств по питанию.

Однако, от этого не легче. Теперь проблема в другом. Максимальная скорость передачи данных в IPsec VPN site-to-site туннеле между маршрутизаторами Keneetic составила 20 Мбит/сек, при этом загрузка процессора 100%, полностью падает интернет, перестает загружаться веб-интерфейс, пинг до роутера становится 250-300 мс вместо обычных <1мс, а в итоге через время туннель вообще падает и самостоятельно одуплиться уже не может.

1) Возможно ли ограничить скорость передачи информации для всех устройств только через этот VPN канал, не затрагивая скорости обычного веб-серфинга и локальной сети? Чтобы не допускать загрузку процессора 100%.

2) Поможет ли покупка бизнес серии, например USG40W для приемлемой скорости (хотя бы 30-50 Мбит и при этом отсутствия падения интернета, веб-интерфейсов и в итоге самого туннеля)

3) Можно ли настроить IPsec VPN site-to-site до одного определенного сегмента на маршрутизаторе?
Иначе говоря, на одном конце у меня будет стоять бизнес-серия ZyWall, на котором будут два непересекающихся сегмента 192.168.2.0/24 и 192.168.3.0/24, но оба с выходом в интернет через один и тот же интерфейс, но на один сегмент будет запущен IPSec VPN site-to-site, а на второй сегмент обычный IPSec xAuth (или L2TP, в общем тот, к которому надо коннектиться самостоятельно с оконечного устройства и получать временный ip).

А на другом конце у меня будет стоять Keenetic с подключением IPsec VPN site-to-site только до того определенного сегмента на ZyWall'e, а параллельно устройства за этим же кинетиком будут еще устанавливать с тем же ZyWall'ом PSec xAuth (или L2TP) подключения к второму сегменту на ZyWall'e.

Надеюсь, понятно объяснил, лол. Суть в том, что для тяжелых передач устройства буду сами устанавливать соединения (и сами шифровать отправляемое на ZyWall, чтобы не напрягать проц кинетика). Но помимо этого будет еще независимо от всего и другой сервис, требующий постоянного vpn-подключения (site-to-site (т.е keenetuc-zyWall), но объемы передачи данных там копеечные и никогда не загрузят процессор)

[KorDen]

1 час назад, jappleseed89 сказал:

ZyWall

Keenetic уже не Zyxel, а Zywall - древнющие.. Забудьте о покупке лучше, если конечно где по бросовой цене (меньше цены б/у кинетика на 6856) не найдете...

Кинетики на MT7621 и RT6856/63368 (из актуальных - Giga III / Ultra II / Giga KN-1010 / Ultra KN-1810, из старых - Keenetic II, Giga II, Ultra) могут протянуть аппаратно 200+mbps IPsec. (Keenetic II из-за 100мбит портов - 100)
 

У Extra II криптомодуль тоже есть, но он "странный", не для всех нагрузок годится, и выдать может этак от силы 40Mbps в идеальных условиях.

Настройки шифрования, в особенности 2 фаза, у вас какие? Ставьте AES+SHA1 и пробуйте с выключенным/выключенным криптомодулем на вашей нагрузке (crypto engine hardware / no crypto engine hardware)

 

1 час назад, jappleseed89 сказал:

Возможно ли ограничить скорость передачи информации для всех устройств только через этот VPN канал

На роутере - нет

Edited September 14, 2018 by KorDen

[Кинетиковод]

1 час назад, jappleseed89 сказал:

2) Поможет ли покупка бизнес серии, например USG40W для приемлемой скорости (хотя бы 30-50 Мбит и при этом отсутствия падения интернета, веб-интерфейсов и в итоге самого туннеля)

Смените DES на AES и будет более 30 мегабит. Что касается падений, то вроде такого нет. Если хотите леталова, то берите две Гиги.

[Le ecureuil]

Насчет неработоспособности TCP: попробуйте поиграть с crypto map tcp-mss.

Насчет скорости: лучше найти устройства на 6856 или 7621.

[jappleseed89]

Спасибо за информацию. На AES-128/MD5/DH1 (фаза 1 и фаза 2). 55 Мбит/сек и вроде как даже остается работоспособным интернет. Но веб-интерфейс кимнетиков всё равно не прогружается. Видимо, из-за загрузки процессора 100%.

Думаю, что необходимо добавить в прошивки ограничения скоростей для туннелей, либо продумать вопрос забивания ресурсов процессора шифрованием туннелей и недопуска пропадания веб-интерфейсов и торможения интернета. Ведь, вроде как Keenetic теперь конкурирует с Zyxel? Или я не прав? Или для малого бизнеса для построения VPN-туннеля между подразделениями с необходимостью периодической передачи по VPN большого объема данных (> 1 Тб) имеет смысл покупка именно бизнес-моделей Zyxel? На самом деле, устроит даже постоянная скорость в туннеле 30 Мбит/сек, лишь бы при этом не падала производительность остальных подключений. На Giga можно добиться именно такого результата?

Edited September 21, 2018 by jappleseed89

[jappleseed89]

О, ещё вопрос. Реально ли это реализовать средствами Keenetic?

Имеется два подразделения. Головное и филиал (на самом деле филиал больше головного). Но в филиале имеется много недоброжелателей, кто может украсть роутер или еще чего (прецеденты уже имеются, к сожалению). Поэтому изначально для филиала была создана полностью отдельная инфраструктура, никак не связанная физически с головной.

При этом есть желание на мощном сервере головного офиса сделать резервную реплику серверов филиала. А для этого нужен VPN (site-to-site), тот же IPSec. Но нужно, чтобы к серверам чисто головного офиса доступа из филиала не было в любом случае.

Поэтому хочется на головном офисе создать 2 сегмента сети с разными VLAN и подсетями. И настроить IPSec VPN на конкретную подсеть. Я ведь правильно понимаю, что если в настройках IPSec VPN в Keenetic я задаю локальную и удаленную подсеть, то это и есть именно то, что мне нужно? И если в головном офисе прописать в свойствах подключения IPSec VPN " IP-адрес локальной сети" подсеть второго сегмента сети, то доступа к первому оттуда не будет?

Edited September 21, 2018 by jappleseed89

[Кинетиковод]

36 минут назад, jappleseed89 сказал:

Или для малого бизнеса для построения VPN-туннеля между подразделениями с необходимостью периодической передачи по VPN большого объема данных (> 1 Тб) имеет смысл покупка именно бизнес-моделей Zyxel? На Giga можно добиться именно такого результата?

Для ваших целей Гига больше подходит. Всё же Экстра это аппарат для дома.

38 минут назад, jappleseed89 сказал:

Думаю, что необходимо добавить в прошивки ограничения скоростей для туннелей, либо продумать вопрос забивания ресурсов процессора шифрованием туннелей и недопуска пропадания веб-интерфейсов и торможения интернета.

Так ограничьте скорости для тех устройств с которых вы качаете ваши терабайты и процессор Экстры не будет забиваться под завязку. У вас должен быть установлен компонент "шейпер трафика". Ограничитель найдёте в разделе "список устройств".

[Le ecureuil]

В 21.09.2018 в 23:51, jappleseed89 сказал:

О, ещё вопрос. Реально ли это реализовать средствами Keenetic?

Имеется два подразделения. Головное и филиал (на самом деле филиал больше головного). Но в филиале имеется много недоброжелателей, кто может украсть роутер или еще чего (прецеденты уже имеются, к сожалению). Поэтому изначально для филиала была создана полностью отдельная инфраструктура, никак не связанная физически с головной.

При этом есть желание на мощном сервере головного офиса сделать резервную реплику серверов филиала. А для этого нужен VPN (site-to-site), тот же IPSec. Но нужно, чтобы к серверам чисто головного офиса доступа из филиала не было в любом случае.

Поэтому хочется на головном офисе создать 2 сегмента сети с разными VLAN и подсетями. И настроить IPSec VPN на конкретную подсеть. Я ведь правильно понимаю, что если в настройках IPSec VPN в Keenetic я задаю локальную и удаленную подсеть, то это и есть именно то, что мне нужно? И если в головном офисе прописать в свойствах подключения IPSec VPN " IP-адрес локальной сети" подсеть второго сегмента сети, то доступа к первому оттуда не будет?

В принципе верно.

[jappleseed89]

Спасибо за советы.

Но с прохождением http через туннель IPSec всё таки наблюдаются проблемы. Разные сервисы http в разное время то открываются, то нет. При этом локально всё всегда отлично. Возможно, как я вычитал еще в самом начале, проблемы с MTU?

Что-то в таком случае сделать можно, не затрагивая все остальные подключения и не вызывая там проблем? (доступ к этим сервисам через vpn - дело десятое по сравнению с тем, что там еще висит на тех же интерфейсах). Может помочь поднятие proxy на роутере (если это вообще реально) для доступа к http, который в данный момент не открывается через этот vpn-канал? Но надо учитывать, что на том конце (где находятся недоступные http сервисы - нет белого адреса и нельзя его подключать из-за дурости провайдера, у которого неверно настроено его оборудование, и после подключения белого ip вообще физически пропадает любая связь между точками). Поэтому подключение к прокси опять же пойдет через этот vpn.

[Le ecureuil]

1 час назад, jappleseed89 сказал:

Спасибо за советы.

Но с прохождением http через туннель IPSec всё таки наблюдаются проблемы. Разные сервисы http в разное время то открываются, то нет. При этом локально всё всегда отлично. Возможно, как я вычитал еще в самом начале, проблемы с MTU?

Что-то в таком случае сделать можно, не затрагивая все остальные подключения и не вызывая там проблем? (доступ к этим сервисам через vpn - дело десятое по сравнению с тем, что там еще висит на тех же интерфейсах). Может помочь поднятие proxy на роутере (если это вообще реально) для доступа к http, который в данный момент не открывается через этот vpn-канал? Но надо учитывать, что на том конце (где находятся недоступные http сервисы - нет белого адреса и нельзя его подключать из-за дурости провайдера, у которого неверно настроено его оборудование, и после подключения белого ip вообще физически пропадает любая связь между точками). Поэтому подключение к прокси опять же пойдет через этот vpn.

Явно задавать TCP MSS пробовали?

[dexter]

@Le ecureuil, я поддержу @jappleseed89 так как сам не могу победить http(и ещё ssh на стандартном порту) через IPIP  туннель.

Имеем данный туннель с ipsec. Пока туннель не нагружен http работает нормально. 

Как только начинает литься трафик, http умирает, но не на всех ресурсах.

IPIP с MTU 1416 туннель работает на ван интерфейсе у которого MTU 1500 в одной сети провайдера.

Вчера выставил TCP MSS равную 1300 на обоих концах туннеля, но картина не меняется.

crypto engine hardware
crypto ipsec mtu auto

тут не нужно "авто" изменить руками значение MTU?

Нужна какая отладочная информация?

[Le ecureuil]

В 07.10.2018 в 10:39, dexter сказал:

@Le ecureuil, я поддержу @jappleseed89 так как сам не могу победить http(и ещё ssh на стандартном порту) через IPIP  туннель.

Имеем данный туннель с ipsec. Пока туннель не нагружен http работает нормально. 

Как только начинает литься трафик, http умирает, но не на всех ресурсах.

IPIP с MTU 1416 туннель работает на ван интерфейсе у которого MTU 1500 в одной сети провайдера.

Вчера выставил TCP MSS равную 1300 на обоих концах туннеля, но картина не меняется.

crypto engine hardware
crypto ipsec mtu auto

тут не нужно "авто" изменить руками значение MTU?

Нужна какая отладочная информация?

Тут нет, а попробуйте на IPIP-интерфейсе руками выставить MTU в 1300 и TCP MSS в 1200.

[dexter]

@Le ecureuil, спасибо, но у меня просто не бывает. У меня в IPIP туннеле висит EoIP туннель.

Так вот MTU и TCP MSS я понизил до уровней из поста, но сайты не открывались.

Сделал "interface EoIP0 down" - все заработало.

После этого  "interface EoIP0 up" - работает. Перед тем как ставить MTU в 1300 и TCP MSS в 1200, на EoIP туннеле выставил:

" ip mtu 1100" и "  ip tcp adjust-mss 1000"

А туннель в туннеле у меня для L2 и что бы с vpn не конфликтовало.