VPN, режется скорость

Обсуждение ПО и его настройки
Ответить
seven
Сообщения: 14
Зарегистрирован: 13 авг 2013, 22:56

Добрый день.
Есть 2 штуки RB2011L в разных офисах.
У каждого провайдер отдает 100\100 Мб на вход и выход.
На самих Микротиках поднят PPTP\L2TP сервер.
Удаленные клиенты подключаются и получают скорость копирования по SMB 500-700 КБ.
В процессе гугления выявилось что PPTP\L2TP реализовано в Микротиках через одно место, советуют использовать OpenVPN.
Поднял OpenVPN тунель между 2 Микротиками. Скорость все равно получаю 700 КБ - 1.1МБ, т.е. примерно 10% от пропускной способности канала, что обеспечивает провайдер. Процы на обеих роутерах в момент копирования файла загружены на 40-45%, подбор значения MTU результата не дал, настройки шифрования\сжатия также не особо влияют на результат.
Скорость измерял копированием файла с одного ПК в сети 1-го офиса на ПК во второй офис и обратно.
Не подскажете как добиться скоростей чуть побольше, хотя бы 4-5 МБ (30-40 Мбит\с)?
Спасибо.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Честно, читал Ваш пост и был слегка удивлён:

1) как раз OpenVPN в микротиках и сделан по отзывам многих - не производительным.
2) протоколы PPTP и L2TP - давно изучены и адаптированы, ну и с разными параметрами надо их использовать.
3) надо понимать что для каждого решения есть свои инструменты
4) РБ2011 достаточно уже старый роутер, он одноядерный, и в рамках шифрования очень слабоват.
5) в Вашей ситуации я бы начал с более простых протоколов чтобы вообще понять что может получиться в итоге,
в частности попробуйте туннели IPIP (они самые простые), потом попробуйте GRE туннели, потом GRE+IPSec и засекайте скорости.
6) для шифрования и более оптимальной нагрузки микротик рекомендует в рамках маленьких офисов - модель 750Gr3,
там и процессор 2х ядерный(4 потока) и памяти побольше.
7) ну и для получения 35-40мбит шифрованного туннеля - железки нужны по мощней (может сделать/поднять микротик на компе(ах)?).
8) надеюсь у Вас роутеры обновлены на самую последнюю прошивку?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
seven
Сообщения: 14
Зарегистрирован: 13 авг 2013, 22:56

Спасибо за ответ.
У меня скорость получается одинаковая, что через PPTP\L2TP, что через OpenVPN.
Думал, возможно, что-то упускаю при настройке, т.к. подбор MTU и отключение сжатия и шифрования на общий результат практически никак не влияет. Обоим роутерам уже по 4+ лет, прошивки последние, работают безпроблемно, не хотелось бы их менять на компы.
Попробую для начала IPIP тунели. Спасибо за наводку.


seven
Сообщения: 14
Зарегистрирован: 13 авг 2013, 22:56

Настроил IPIP тунель. Скорость через него 10 МБ\с, т.е. задействуется практически вся пропускная способность канала провайдера.
При GRE тунеле скорость такая же. А вот при GRE+IPSec - 2.2 - 2.5 МБ\с и загрузка процов на обеих роутерах 100%, т.е. реально процы не вытягивают шифрование.
Спасибо за помощь.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Не за что.
Но учтите что многие туннельные протоколы используют только одно ядро/поток,
поэтому чем выше мощность одного потока/ядра тем быстрее и скоростнее будет идти шифрование.

Ждём-с версию РоутОС 7 где будет мультипоточность и другие полезные и долгожданные фишки!



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
WhiteWolf
Сообщения: 55
Зарегистрирован: 15 сен 2015, 09:10
Откуда: НСК

Стоит CCR1009-8G-1S-1S+ по BGP на нем пул белых IP, входящий канал 1 гигабит
Для 32 удаленных офисов поднято 32 EoIP туннеля без IPsec, в офисах RB951G везде входящий каналы 70 мегабит, весь трафик с LAN портов и вайфай бриджем идет в в туннель
Замеряю скорость на 951G через туннель в интернет получаю 55-60 мегабит, подключаю патчкордом ноутбук меряю скорость 16-20 мегабит.
Если на CCR1009-8G-1S-1S+ оставить активными 3 - 5 туннелей скорость на ноутбуке 55-60 мегабит
При всех активных туннелях на CCR1009-8G-1S-1S+ общая загрузка проца 1%, максимально загруженное ядро 5-10%
Не могу понять почему с 951-го через туннель скорость в норме, а на железках за ним зависит от числа активных туннелей на головном микротике


Alex_2019
Сообщения: 76
Зарегистрирован: 05 окт 2019, 16:08

Поднимаю тему.
sstp-туннель между двумя Микротиками (Питер-Крым) дает скорость копирования файлов максимум 200 кб/с при том, что провайдеры дают более 50 мбит/с.

Тестирую pptp туннель: сервер настроен на Микротике бытовом в Питере, клиент в Крыму - ноутбук подключенный к интернету через другой бытовой Микротик (в данном случае это не важно). Скорость (средняя) копирования файла размером 1,1 Гб менялась от 1мб/с до 580 кб/с к концу закачки.

Размышляю какой туннель поднять между MikroTik RB1100AHx4 Dude Edition (белый IP в Питере, канал 200 мбит/с) и
MikroTik cAP ac (RBcAPGi-5acD2nD) в Крыму, серый IP по DHCP ? Прошивки использую самые свежие.
Высказывали советы настроить l2tp...

Цитирую детали своих замеров из вопроса в другом разговоре:

"
Имеется Микротик 1 RB1100AHx4 Dude Edition в СПб с белым IP и каналом 200 мбит/с. За ним локальная сеть, на компьютеры которой необходимо заливать файлы из другого региона.
Имеется Микротик 2 cAP ac (RBcAPGi-5acD2nD) в Крыму с серым IP и каналом 50 мбит/с на отправку и 90 мбит/с на скачивание.
Между ними настроено sstp-соединение.

Bandwidth Test на внутренний IP 192.168.***.*** в режиме tcp, ditection both из Крыма в Питер показывает 6,6/7.8 Tx/Rx Mbps. Загрузка процессора Микротика 2 не более 25%, а микротика 1 вообще близкая к нулю.

А реальные файлы с ноутбука подключенного в Крыму на сервер в Питере перекачиваются со скоростью не более 200 кб/с !
Пробовал подключаться как по RDP (по внутреннему IP), так и посредством расшаривания каталога и копирования с помощью "мышки". Скорости идентичные / низкие. Большие файлы при сбое не докачиваются.

Bandwidth Test на внешний IP 178.252.***.*** в режиме tcp, ditection both из Крыма в Питер показывает 46,8/63.3 Tx/Rx Mbps.
То есть скорость по Bandwidth-тесту VPN-туннеля SSTP составляет менее 15% от скорости канала.

Предполагаю, что у меня может быть что-то не идеально настроено, может быть пакеты как то дробятся при прохождении через Микротики.

Дайте совет как правильно организовать пересылку десятков/сотен гигабайт крупных и мелких файлов из Крыма в Питер без использования публичных сервисов, чтобы данные перемещались более-менее конфиденциально. Желательно, чтобы поддерживалась докачка больших файлов (файлы могут быть более 10 Gb).

"


RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
Ответить