SSTP\OVPN vs L2TP

Обсуждение ПО и его настройки
Ответить
DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

Приветствую, господа!
Не могу определить проблему, возможно она и вовсе не в микротиках, но нужно больше информации, поэтому обращаюсь за помощью, возможно кто-то уже сталкивался.

Имеется туннель между двумя RB 1100AHx2 из Москвы в колокейшн в Сев. Америке. При использовании L2TP+IPSec - никаких проблем, пакеты не теряются, отклик по пингу ~150 мсек, если нагружать туннель трафиком, то скорость передачи вменяемая и время отклика пинга не меняется. В целях упрощения хочу переделать туннель на OpenVPN или SSTP, второй предпочтительней, т.к. и поддерживается windows-клиентами и обеспечивает хорошую заиту и использует популярный порт. Роутинг не меняю, просто кладу первый тоннель и поднимаю второй другого типа, аутентификация та же. самоподписной сертификат, в общем все подключается мгновенно и работает, пинги идут, время отклика такое же. Но стоит загрузить немного канал, например попытаться скопировать файл 20-30 мб и пинги мгновенно вырастают до 400-500, скорость передачи никакая, 20-30 кб\сек и меньше, иногда рвется соединение.
Эта картина наблюдается уже год, то есть я пробовал раньше и возвращал все назад. Сейчас хочется углубиться и найти откуда ноги растут. При подключении win-клиентов из Москвы на колокейшн к микротику картина не меняется, все так же тупит, еле качает и пинги растут. В стране колокейшна при подключении win-клиента всё нормально и скорость и отклик. В Москве то же самое, аналогичные туннели бегают без проблем.
Логично свалить проблему на магистрального провайдера, но как его тыкнуть носом и что от него просить? Или может всё же у меня неверные настройки для такой "дальней магистрали"? MTU\MRU изначально стояли 1400, пробовал и больше и меньше, без разницы. Понимаю, что L2TP это все же UDP и он шустрее, в отличие от остальных PPP, которые у микротика через TCP. Но ведь неспроста это все?
Прошу советов.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Скажите, пожалуйста, какого именно совета вы хотите?
Все ваши мысли правильные, тем более, что другие тоннели работают нормально.
Попробуйте запустить тесты скорости на обеих микротиках и все встанет на свои места. Для интереса запустите тесты на других микротиках, которые в России. Покажите все это провайдеру.

ИМНО передавать большие объемы по таким каналам не сильно эффективно. Обычно работают в терминальных сессиях или RDP.


DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

gmx писал(а):Скажите, пожалуйста, какого именно совета вы хотите?


Хотел как раз подтверждения, что мысли правильные, т.к. всегда можно что-то упустить, так что спасибо вам :)
Большую нагрузку не пускаю. народ как раз внутри тоннеля и работает по telnet, rdp, citrix. В общем я надеялся "а вдруг" кто-то уже сталкивался с подобным ну или опять же вдруг есть некая протокольная фича у микротика. Спасибо за ответ!


DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

Я забыл еще уточнить важную деталь, может быть сможете подсказать еще раз:
пинги растут и все тупит внутри туннеля, снаружи между внешними адресами связь остается нормальной. Сейчас с двух каналов с двух 1100-х поднято по тоннелю на 1100-й который в колокейшене стоит, обы тоннеля L2TP+IPSec, на одном связь нормальная, на втором 280 мсек вместо 150, а вне тоннеля 150 как и должно быть.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Любой тоннель работает медленнее, чем прямое соединение.
При этом L2TP медленнее в несколько раз, а нагрузка на оборудование во столько же раз выше, если не больше.
Поглядите тесты домашних роутеров.

И еще, во время нагрузки на тоннель какой процент загруженности процессора микротика? Да и вообще о каких скоростях идет речь? Могу точно сказать, что один тоннель на скорости 2 мегабита на RB751 отжирает 10-15% ресурсов процессора. Увеличение скорости будет в геометрической прогрессии отъедать ресурсы.

У провайдера не уточняли, он не может резать определённый тип трафика?


DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

Нагрузка на ЦП не превышает 5%, это же 1100-й, а шифрование в IPSec выставлено на AES, там в PPC встроенный блок который хардварно работает с AES. Возможно и провайдер что-то поменял, но у меня просто картинка в целом не клеится, я сейчас распишу от руки, если удобней будет экспортнуть и показать настройки, то подскажите пожалуйста что именно показать.

1 канал ростелеком, поднят L2TP+IPSec, MTU\MRU=1400
время отклика от хоста до хоста - 148~151 мсек
время отклика через тоннель от хоста на колокейшне = 149 мсек
заряжаю копироваться файл 30 метров с хоста на хост, скорость - 3 мегабит, время пинга не меняется

2 канал билайн, раньше был так же L2TP+IPSec, MTU\MRU=1400
время отклика от хоста до хоста - 143~144 мсек
в пятницу отклик внутри тоннеля стал вдвое больше почему-то, т.е. 280 мсек, я решил покопаться и заодно очередной раз попробовать SSTP на новой 6.27
итак сейчас SSTP с PFS, Force AES, MTU\MRU=1460. MPLS, Compression, VJ Compression, Encryption в профиле "No", отклик через тоннель - 145 мсек
При малейшей нагрузке (например заход на шару на машине в колокейшне через тоннель) - пинг поднимается до 300-500 мсек, отклик на действия очень долгий, скорость передачи 20-30 кб\сек
Если вернуть назад на L2TP+IPSec скорость передачи нормальная, но отклик в тоннеле вдвое больше, чем снаружи. Причем роутеры не конфигурились последнее время, всё давно работало, я только обновил роутерос до 6.27 с 6.26, до этого была 6.22 Но если был бы косяк в роутерос, он вылез бы и на втором тоннеле
В общем такое ощущение, что там и магистральный провайдер что-то начудил давно и у меня фигня какая-то. Думал за MTU\MRU, но с ними игрался и никакой разницы.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Не знаю что посоветовать...
Теребите провайдера.

Я такие длинные и скоростные тоннели никогда не поднимал. Я не в Москве живу, у меня тут 5 мегабит правит бал.


DJGlooM
Сообщения: 73
Зарегистрирован: 27 ноя 2013, 14:05

Всё же похоже, что проблема не в расстояниях или шейпинге, а в роутеросе.

L2Tp+Ipsec и PPTP работают нормально, под нагрузкой ничего не проседает и исопльзуется максимально доступная скорость.
SSTP и OpenVPN без нагрузки чувствуют себя замечательно. Пускаем трафик, пинги мгновенно удваиваются-утраиваются, иногда падает линк. На коротких расстояниях это не так ощутимо, ибо разница в 8 мсек пинге и 30 мсек несущественная для восприятия.
Есть кто-то у кого работают SSTP или OpenVPN под нагрузкой и без нареканий? Можете показать конфиги? Может это я что-то не то делаю? Хотя там настроек то с гулькин...
У меня самоподписной сертификат, сгенеренный через easy-rsa который идет в комплекте OpenVPN под винды. Аутентификация mschap2, MTU = 1460, Forse AES, PFS,keepalive = 60. С вин-клиентами такая же фигня.


Ответить