Низкая производительность L2TP

Обсуждение ПО и его настройки
gunya
Сообщения: 7
Зарегистрирован: 18 окт 2012, 22:57

Пытаюсь настроить VPN между сервером во Франции и домашним Routerboard 2011UAS-2HnD.
Изначально пытался настроить L2TP/IPSec, но роутер падал от нагрузки на шифрование, загрузка процессора - 100%, несколько минут и роутер перезагружался.
В итоге решил отключить шифрование и сделать просто L2TP.

Но, в итоге скорость не поднялась, а упала:

Код: Выделить всё

france-public - внешний IP сервера во Франции
france-local - локальный IP, выданный L2TP

#pscp sk@france-public:/home/sk/testfile .
testfile                  | 102400 kB | 9309.1 kB/s | ETA: 00:00:00 | 100%
#pscp sk@france-local:/home/sk/testfile .
testfile                  | 102400 kB | 5688.9 kB/s | ETA: 00:00:00 | 100%

#pscp testfile sk@france-public:/home/sk/tfile1
testfile                  | 22480 kB | 2810.0 kB/s  | ETA: 00:00:00 | 100%
#pscp testfile sk@france-local:/home/sk/tfile1
testfile                  | 23496 kB | 559.4 kB/s | ETA: 00:00:00 | 100%


Видно, что разница на download - 2 раза, а на upload - практически 6 раз. При включенном IPSec скорость на upload была около 3 МБ/с.

Конфигурация L2TP/IPSec: (На сервере просто выключил IPSec, тогда получается обычный L2TP туннель)

Код: Выделить всё

/interface l2tp-server server
set authentication=mschap2 enabled=yes
/ip firewall filter
add chain=input connection-state=new dst-port=1701 in-interface=ether1 protocol=udp
add chain=input connection-state=new dst-port=4500 in-interface=ether1 protocol=udp
add chain=input connection-state=new dst-port=500 in-interface=ether1 protocol=udp
add chain=input connection-state=new in-interface=ether1 protocol=ipsec-esp
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.0.0/24
/ip ipsec peer
add enc-algorithm=aes-128 exchange-mode=main-l2tp generate-policy=port-override \
    nat-traversal=yes
/ppp secret
add local-address=192.168.0.1 name=France profile=l2tp-vpn remote-address=192.168.0.2 \
    routes="192.168.1.0/24 192.168.0.2 1" service=l2tp


Настройки pppd на сервере:

Код: Выделить всё

# more /etc/xl2tpd/xl2tpd.conf
[global]
port = 1701
access control = yes
rand source = dev

[lac flex]
lns = moscow-public
redial timeout = 1
redial = yes
require chap = yes
require authentication = yes
name = France
require pap = no
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
autodial = yes

# more /etc/ppp/options.xl2tpd
unit 0
name France
remotename l2tp
ipparam Mikrotik
connect /bin/true
mtu 1480
mru 1480
nodeflate
nobsdcomp
persist
maxfail 0
nopcomp
noaccomp
noauth
defaultroute
usepeerdns


Кто виноват и что делать? Как выжать больше скорости из VPN?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

ОГО!

На микротке много правил фаервола, маркировки, нат и 7 уровня???

И порты в программный бридж собраны?

Уменьшить всех правил, временно отключив их.
Бридж временно убрать и использовать одну группу портов, объединив их через мастер слейв.

Если все пойдет, то постепенно подключать правила.

Да если честно, то скорости у вас не такие уж и большие, чтобы вогнать проц в 100%. Там параллельно еще что-нибудь создает нагрузку? Торренты, видеонаблюдение, пару десятков компов сотрудников???


gunya
Сообщения: 7
Зарегистрирован: 18 окт 2012, 22:57

Сейчас нагрузка процессора в разумных пределах, но скорость ниже, чем была при IPSec.

На микротке много правил фаервола, маркировки, нат и 7 уровня???

На микротике только три правила (я их привел), маркировок нет, нат, на 7 уровне ничего не делал. UPnP еще есть.

И порты в программный бридж собраны?

Подскажите, как грамотно это сделать?

Код: Выделить всё

[admin@MikroTik] > /interface bridge export hide-sensitive 
# may/10/2013 13:15:23 by RouterOS 6.0rc14
# software id = DYAF-T6DV
#
/interface bridge
add arp=proxy-arp l2mtu=1598 name=bridge1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=ether6
add bridge=bridge1 interface=ether7
add bridge=bridge1 interface=ether8
add bridge=bridge1 interface=ether9
add bridge=bridge1 interface=ether10
add bridge=bridge1 interface=wlan1


пятью портами я могу, в принципе, пожертвовать, но что делать с wlan1?


gunya
Сообщения: 7
Зарегистрирован: 18 окт 2012, 22:57

Да если честно, то скорости у вас не такие уж и большие, чтобы вогнать проц в 100%. Там параллельно еще что-нибудь создает нагрузку? Торренты, видеонаблюдение, пару десятков компов сотрудников???

Торренты выключил, компьютеров в сети два. На интерфейсе, что смотрит в сеть, нагрузки почти нет.

Добавил скриншоты статусов соединений - pppoe-out1 - провайдерский PPPoE, l2tp-France - мой VPN-клиент.
Вложения
Снимок.PNG
Загружаю файл напрямую. Видно, что скорость выше. Загрузка процессора скачет 10-15-40-10%
(51.9 КБ) 38 скачиваний
Снимок.PNG
Загружаю файл без IPSec. Видно, что скорость сильно ниже, загрузка процессора - 10-15%
(61.48 КБ) 38 скачиваний
Снимок.PNG
Загружаю файл, IPSec поднят, роутер отвалился
(53.31 КБ) 38 скачиваний
Снимок.PNG
Без нагрузки
(30.36 КБ) 38 скачиваний


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Очень хорошо!

Пробовать ROS 5.25. О том что у вас бета, вы как-то умолчали.


gunya
Сообщения: 7
Зарегистрирован: 18 окт 2012, 22:57

gmx писал(а):Пробовать ROS 5.25. О том что у вас бета, вы как-то умолчали.


Сделал даунгрейд до 5.25, ничего нового. Ситуация та же самая.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Обидно...

Я бы еще попробовал уменьшить MTU, а еще бы я сбросил все до заводских и настроил все заново.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

В свое время на RB450 сессия с шифрованием легко поднималась до максимальной по тарифу 10 мегабит. Правда и организации уже этой нету и RB450 больше не производится. :)
Проц был занят на 30-40%.


gunya
Сообщения: 7
Зарегистрирован: 18 окт 2012, 22:57

Сбросил настройки и развернул настройки, которые были экспортированы, единственное, убрал оттуда все упоминания об IPSec.
Изменений в скорости нету.
MTU и MRU снизил до 1200 - никакой разницы.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Ну, наверное, настало время глупых вопросов :D
У меня RouterBOARD 433UAH. На нем поднят туннель PPTP и EoIP поверх до RouterBOARD 751U-2HnD. Скорость все время ограничена каналом в 10 Мбит/сек , а нагрузка на проц вообще не наблюдается, то есть без разницы, что с туннелем, что без него. Правда и трафика там немного, хотя я пробовал канал забивать, все было нормально. Ros 5.24
Я все это к тому, может вам такое же замутить? Или для вас критично, какой туннель поднимать?


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
Ответить