Добрый день. Поиском не нашел ответа :(
Есть 952ui-5ac2nd, ос 6.43.8.
Поднят l2tp+ipsec, eth1 смотрит в интернет с белым ip, eth2 в локалку.
В локалке есть условный компьютер comp2, подключенный к eth2
В интернете есть условный компьютер inter1.
При подключении comp2 к l2tp из локалки и прогоне на нем спидтеста нагрузка на процессор минимальна, можно принебречь
При подключении inter1 к l2tp из интернета (через eth1) и прогоне на нем спидтеста нагрузка под 100%.
Никаких бриджей на роутере не настроено.
То есть, трафик comp2-eth2-eth1-speedtest микротик не напрягает
А трафик inter1-eth1-eth1-speedtest кладет его на спину :(
Отключение файрволла не меняет ситуацию
Дайте идеи, куда копать
l2tp нагрузка cpu меняется на разных eth
-
Ca6ko
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Комп Comp2 выходит в инет без шифрования Ipsec на прямую через eth1
Комп inter1 вероятно выходит в инет тоже через eth1 только роутер шифрует/дешифрует весь трафик IPsec.
Комп inter1 вероятно выходит в инет тоже через eth1 только роутер шифрует/дешифрует весь трафик IPsec.
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
jlopes
- Сообщения: 4
- Зарегистрирован: 19 янв 2019, 08:40
Здравствуйте. Вы правы, пока сам ковырялся, заметил, что трафик с comp2 попадает в фасттрак, а такого быть не должно, раз он ipsec. По какой-то причине на comp2 стояла галка "использовать шлюз для всего траффика", но она не работала. Снял ее, поставил заново, и траффик пошел через l2tp-ipsec, естественно, положив намертво микротик уже на скорости 10мбит :) Windows такой windows....
Есть ли какое-то шифрование, которое мой микротик прожует полегче? Ну вдруг, в порядке бреда, он aes-128 тормозит, а aes-256 со свистом пропускает? :)
Есть ли какое-то шифрование, которое мой микротик прожует полегче? Ну вдруг, в порядке бреда, он aes-128 тормозит, а aes-256 со свистом пропускает? :)
-
Vlad-2
- Модератор
- Сообщения: 2531
- Зарегистрирован: 08 апр 2016, 19:19
- Откуда: Петропавловск-Камчатский (п-ов Камчатка)
- Контактная информация:
Вот табличка (цветная):
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Но думаю 952 серия не для таких аттракционов, всё таки это больше (вернее только) SOHO.
Если надо IPsec, надо что-то более чуть дороже из железа, я понимаю, что хочется подешевле,
но фирма Микротик тоже всё понимает, за всё надо платить...
https://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Но думаю 952 серия не для таких аттракционов, всё таки это больше (вернее только) SOHO.
Если надо IPsec, надо что-то более чуть дороже из железа, я понимаю, что хочется подешевле,
но фирма Микротик тоже всё понимает, за всё надо платить...
-
jlopes
- Сообщения: 4
- Зарегистрирован: 19 янв 2019, 08:40
да я понимаю, что любая железка за 3-4 тысячи рублей есть УГ в плане роутинга и прочего натинга, поскольку внутренности у всех примерно одинаковые и дохлые. Меня смутило то, что компьютер, подключаясь к впн через порт eth2, давил на полную скорость и не загружал процессор микротика вообще. Оказалось - глюк винды.
Пока l2tp+ipsec используется чисто для административных подключений, хватит и этого. Хотя, конечно, надо было взять связку 750gr3 и какой нибудь 941 для вай-вай, получилось бы веселее, но без 5ггц.
Пока l2tp+ipsec используется чисто для административных подключений, хватит и этого. Хотя, конечно, надо было взять связку 750gr3 и какой нибудь 941 для вай-вай, получилось бы веселее, но без 5ггц.