Сильно тормозит доступ к удаленным ресурсам через VPN (L2TP+IPSec)

Обсуждение ПО и его настройки
Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

а правил фаервола много?


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Какая железка?


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

mrrc писал(а):Железка то хорошая - 750G r3 (6.40.1), правил фаервола девять штук, без всяких там Layer7, Mangle-ов и даже маскарадинга нет.
В момент передачи файлов нагрузка CPU не поднимается выше 1%, плюс параллельно совершенно комфортно можно подключаться на RDP на сервер и вести там работу. А вот скорость обмена файлами между удаленным пользователем и внутренними ресурсами в локальной сети не превышает 40-80Кб/сек. на прием и в районе ~125Кб/сек. на передачу. Соответственно открывать файлы на удаленном ресурсе или просматривать фото по юзабилити ну совсем хреново.

Не мог пройти мимо:
1) согласен, с Драконом - железка Важна в такой задачи.
2) L2TP - "тяжёлый протокол", ради тестов попробуйте РРТР и без шифрования (хотя бы на 5 минут, ничего страшного не будет,
да и различными настройками тоже поиграться надо, то как компрессия и прочее.)
3) (думаю проблема больше в этом пункте) - Вы не Разделили сети. Формально, когда Вы ВПН-клиентов тащите или приплюсовываете
к основной сети, Вы тяните всю сеть (со всеми бродкастами и так далее) в "дохлый" канал ВПН-щика. Ну вот зачем им этот весь трафик?
Да, виндовый NetBIOS(SMB,CIFS) не маршрутизируемый, но формально же можно сделать ярлык по IP и получать доступ?!
Главное чтобы роутер между сетями данные подсети(или явно IP-адреса серверов) не блочил.
То есть хочу явно показать, что с сети 192.168.11.150 (пусть это будет ВПН-щик) обратиться на сервер 192.168.1.11 и зайти в шару \\192.168.1.11\1C
проще, и легче (в плане сетевых технологий), чем делать доступное сетевое окружение и пока это всё прогрузится со списком всех шар всей Вашей сети.
4) про-наблюдайте во время просто подключения ВПН-щика к роутеру, трафик на интерфейсе не растёт? (на бридже роутера?).
5) покачайте по ФПТ, тоже даст почву к размышлению...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

-) зачем пытаться отфильтровать то, что сделать не просто.
Выделите отдельную сеть, сделайте маршрутизацию и всё. Бродкасты не пролезут туда никак.
И ВПН-канал будет чист сам по себе (конечно не берём в учёт, что комп ВПН-щика может быть сам по себе не чистым)

-) на счёт подключения и трафика....я имел ввиду в самом начале, когда только-только подключается ВПН-клиент,
трафик при подключении по идеи должен на какие то мгновение вырости(пикообразно), ибо как раз при первом подключении
и начинается бродскат идти.

-) что-то скорости по ФТП совсем какие то-то дохлые, хотя 5мегабит, это чуть больше 600килобайт...у Вас 300...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Так, стоп стоп стоп...
xDSL? Серьёзно? Тогда при тарифе в 4Мб\с, скорости загрузки в 430КБ\с и выгрузки в 90КБ\с вполне нормальные.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

Автор темы ты разобрался? :) что то у меня та же проблема. Сначала я с дома вообще не мог подключится к удаленным расшаренным папкам. но случилось то что у меня на домашнем компе навернулся жесткий диск, пришлось переустановить винду. с новой виндой и теми же настройками микрота папки стали доступны. Навигация по папкам мгновенная. почти как на самом домашнем компе. Но вот скачать оттуда файл. очень долго. К примеру файл 3 КБ копировалсся (проводником) минуты две. причем сначала оценка места шла 40 секунд, потом 30 секунд шло копирование 99% и оставшееся время копировался последний 1%


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

mrrc писал(а):Я провел вышеописанные в теме эксперименты и сошелся на том, что в канале в офисе очень большой перекос по скорости, ~90КБ\с на выгрузку комфортно работать с расшаренными ресурсами не даст. Вариант с выделением под впн отдельного адресного пространства и маршрутизации у удаленщика несколько быстрее работает, но тоже юзабилити не то.
А в вашем случае что с адресами, кстати? Удаленщики получают адреса из адресного пространства офиса или у них отдельная подсеть с маршрутизацией во внутреннюю сеть?
Описанные вами симптомы те же.



с адресами у меня так.

Изображение

только я не настраивал IPSec

надо ли вообще здесь NAT? или просто прописать маршруты?


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
Аватара пользователя
lexalex83
Сообщения: 65
Зарегистрирован: 29 апр 2017, 12:18

mrrc писал(а):Так у вас объединение инфраструктуры двух офисов на деле, если я верно понял эскиз? :nez-nayu:
Маршрутов с обоих сторон должно быть достаточно. Смотря как сети обоих "офисов" сконфигурированы.
Может быть EoIP попробовать использовать вообще, если в вашем случае такое допустимо.

ну можно сказать и так. просто я не хочу на своем компе поднимать соединение.. но почему же тормозит тогда


на работе:
ядро сети: CCR1016-12S-1S+
ТД: Groove A52 (на одной из них капсман) + мелкие RBcAPL-2nD

дома: hap-mini :)
MTCNA
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

mrrc писал(а):Может быть EoIP попробовать использовать вообще, если в вашем случае такое допустимо.

L2TP - сам по себе не быстрой протокол, не зря от него планомерно-последовательно Билайн отказывается,
и многих переводит своих клиентов на статико-динамику.

А тут (в текущей схеме ТС) ещё поверх или внутри L2TP - запустить EoIP - это вообще будет тяжко, как ни как по/через EoIP передаётся много чего.
Да и с EoIP аккуратно надо - связывать L2-протоколом две сети - тут подумать надо. Чтобы лишнее не пригнать.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Ну сложно советовать уже что-то и конкретно.
Или надо чтобы lexalex83 давал конфиги, или более инженерно расписал что да как.

Ещё пару советов:
1) проверьте маски на шлюзовых сетях (на таких сетях лучше их сделать маленькими) (я про 10.50.хх.хх)
1.2) убедиться/проверить трассертом что точно провайдер Ваш не использует такую же адресацию где-либо у себя?
2) на время тестов я точно бы не советовал использовать EoIP - можно проблем сделать на "другой" стороне
3) пока не разберётесь в чём проблеме и исходя совета в п.2, лучше только делать пока маршрутизацию (L3)
4) попробовать вместо копирования файлов по SMB/CIFS протоколу, использовать какой то другой (ну а вдруг)(SSH,FTP,HTTP)
5) [извращённый совет] попробуйте на базе одного туннеля сделать другой (вложенные). А вдруг сработает...
6) используйте в таблице маршрутизации при прописывании маршрутов параметр Pref.Source



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить