750Gr3 ipsec скорость

Обсуждение ПО и его настройки
Fedya
Сообщения: 14
Зарегистрирован: 23 янв 2016, 14:49

Добрый день.
Данной железке заявлена хардварная акселерация ipsec.
При каких настройках реально получить 100 мегабит?
Пробывал разные - не более 50 мегабит.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Что-то не так делаете, порядка 180мбит она выдает.


Telegram: @thexvo
Fedya
Сообщения: 14
Зарегистрирован: 23 янв 2016, 14:49

[admin@MY] > ip ipsec proposal print
Flags: X - disabled, * - default
0 * name="default" auth-algorithms=sha256 enc-algorithms=aes-256-cbc,aes-192-cbc,aes-128-cbc lifetime=30m
pfs-group=modp1024

[admin@MY] > ip ipsec profile print
Flags: * - default
0 * name="default" hash-algorithm=sha256 enc-algorithm=aes-256,aes-192,aes-128 dh-group=modp2048,modp1024 lifetime=1d
proposal-check=obey nat-traversal=yes dpd-interval=2m dpd-maximum-failures=5

При таких настройках выдаёт мегабит 30-40, не более.

Что поправить для ускорения?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Смотрите где-то ещё, сейчас погонял bandwidth test через gre + ipsec: 100мбит канал заливает легко (20% нагрузки, больше сейчас просто не на чем проверить) при глубине шифрования sha256.
Когда-то раньше тестировал - порядка 180мбит получал.

Может MTU не правильно высчитан на интерфейсах, и ему приходится пакеты дробить.
Может другая сторона виновата.


Telegram: @thexvo
Fedya
Сообщения: 14
Зарегистрирован: 23 янв 2016, 14:49

У меня l2tp+ipsec . Может эта реализация кривая? У вас какой mtu?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Fedya писал(а): 11 авг 2022, 12:19 У меня l2tp+ipsec . Может эта реализация кривая? У вас какой mtu?
Нет, через него я тоже тестировал, там разница минимальная.
Какой MTU у меня вам мало поможет - надо чтобы у вас был правильный для вас, а не для меня.
Но с такой глубиной шифрования для l2tp+ipsec я ставлю 1396 - больше может быть уже перебор, например если клиент в сети сотового оператора.


Telegram: @thexvo
Fedya
Сообщения: 14
Зарегистрирован: 23 янв 2016, 14:49

xvo писал(а): 11 авг 2022, 12:23 Какой MTU у меня вам мало поможет - надо чтобы у вас был правильный для вас, а не для меня.
Я понимаю) Я экспериментально его занижал ступенчато - толку ноль.
В инете читал что у людей он тоже не развивает полную скорость. Подумал что реально крипточип никакой
.


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Проверьте тот же канал с голым l2tp, без ipsec.


Telegram: @thexvo
Fedya
Сообщения: 14
Зарегистрирован: 23 янв 2016, 14:49

Проверил. Без ipsec - скорость точно такая же низкая. С двух сторон инет более 200 мегабит.
Канал халтурит. Подскажите куда копать?


xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Попробуйте между двумя машинами bandwidth test напрямую, без всяких туннелей.
Тупо на внешний адрес, предварительно разрешив в firewall'е.

У меня как-то было, что между двумя конкретными провайдерами скорость была никакая, а через третью точку - норм.


Telegram: @thexvo
Ответить