Потеря пакетов через PPTP туннель под нагрузкой

[ssedov]

Поставил себе дома Ultra, обновился до последней беты 3.1. До этого keenetic в туннелях не использовал, опыта не имею.

До рабочей сети (шлюз на Centos 6) поднял PPTP клиента, mppe, сжатие (не уверен что работает, но в конфиге на сервере указано). Конфиг из веб панели, все по дефолту. Работает отлично, пинг 25-30 мс. Включаю закачку файла, скорость около 45-50 Мбит (на сервере и на дома сеть 100 Мбит, честных 90 выдает и там и там), нагрузка на CPU роутера около 25%, пинг до удаленного шлюза пропадает практически полностью (потери 70%), а те что проходят имеют отклик так же 25-30 мс.

В связи с этим хотел спросить - это "штатное" поведение роутера или PPTP туннеля? Может где-то что-то подкрутить нужно в настройках (приоритезация трафика)? Может другой тип туннеля стоит использовать (хотя читал что PPTP самый быстрый и соответственно менее требовательный к оборудованию)? До этого на тот же шлюз из дома был IPSec туннель на Juniper SRX100, скорость по туннелю была максимальная для этой модели роутера около 50 Мбит, но я при этом спокойно работал по ssh с другими хостами в рабочей сети и спокойно пользовался RDP. Т.е. не было такого проседания сети из-за закачки.

[vasek00]

40 минут назад, ssedov сказал:

До этого на тот же шлюз из дома был IPSec туннель на Juniper SRX100, скорость по туннелю была максимальная для этой модели роутера около 50 Мбит, но я при этом спокойно работал по ssh с другими хостами в рабочей сети и спокойно пользовался RDP. Т.е. не было такого проседания сети из-за закачки. 

Туннель на базе где на обоих концах роутер 7621 с EoIP/IPSec дает 100Мбит, замена одного роутера на роутер с 7628 на этом же туннели дает 40Мбит.

[ssedov]

3 минуты назад, vasek00 сказал:

Туннель на базе где на обоих концах роутер 7621 с EoIP/IPSec дает 100Мбит, замена одного роутера на роутер с 7628 на этом же туннели дает 40Мбит.

Немного не соображу... это какую информацию мне дает? Что-то из роутеров нужно заменить? Разные роутеры не работают нормально? Перейти на EoIP/IPSec?

[Le ecureuil]

MPPE не ускоряется аппаратно, потому потери пакетов вполне возможны.

IPsec ускоряется, потому там все лучше.

[ssedov]

3 минуты назад, Le ecureuil сказал:

MPPE не ускоряется аппаратно, потому потери пакетов вполне возможны.

IPsec ускоряется, потому там все лучше.

Верно понимаю что это совет перейти на IPSec и на нем проверить качество сети под нагрузкой?

[vasek00]

3 часа назад, ssedov сказал:

Может другой тип туннеля стоит использовать ....

Немного не соображу... это какую информацию мне дает?

Только то что роутер на базе 7621 туннеля с IPSec осилит скорость 100Мбит

[ssedov]

Спасибо всем! Все отлично получилось на IPsec. (PPTP снес на радостях!!!)

На centos 7 поставил openswan, настроил 2 туннеля для Giga и для Ultra роутеров. Подсети смаршрутизировались правильно, на стороне подсети Centos nat работает как положено.

Единственное что выставил шифрование на минимум (ike=des-md5-modp768 esp=des-md5), на сколько это критично для безопасности?

НО, зато скорость по туннелю максимальная для моего провайдера (95-96 Мбит), при этом потери пингов не значительные и вполне сносно работает параллельно ssh по этому же туннелю. Загрузка CPU на Ultra - 33%. Считаю это хороший показатель.

[Le ecureuil]

Шифрование работает в keenetic на одинаковой скорости при любых алгоритмах, ставьте aes256-sha1-modp2048 и будет все ок.