ProtonVPN IKEv2 на RB2011UiAS-RM выдает 25% от реальной скорости

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
AllSaints
Сообщения: 2
Зарегистрирован: 01 май 2022, 22:43

Добрый день,
Имеется RB2011UiAS-RM
На нем поднял для двух IP ipsec IKEv2 (ProtonVPN)

Код: Выделить всё

/tool fetch url="https://protonvpn.com/download/ProtonVPN_ike_root.der"
/certificate import file-name=ProtonVPN_ike_root.der name="ProtonVPN CA" passphrase=""

/ip firewall address-list add address=10.20.100.128 list=under_protonvpn
/ip firewall address-list add address=10.20.100.55 list=under_protonvpn
/ip firewall mangle add action=mark-connection chain=prerouting src-address-list=under_protonvpn new-connection-mark=under_protonvpn passthrough=yes

/ip ipsec mode-config add connection-mark=under_protonvpn name="ProtonVPN mode config" responder=no
/ip ipsec policy group add name=ProtonVPN
/ip ipsec profile add dh-group=modp4096,modp2048,modp1024 dpd-interval=disable-dpd enc-algorithm=aes-256 hash-algorithm=sha256 name="ProtonVPN profile"
/ip ipsec peer add address=us.protonvpn.com exchange-mode=ike2 name="ProtonVPN server" profile="ProtonVPN profile"
/ip ipsec proposal add auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=0s name="ProtonVPN proposal" pfs-group=none
/ip ipsec identity add auth-method=eap certificate="ProtonVPN CA" eap-methods=eap-mschapv2 generate-policy=port-strict mode-config="ProtonVPN mode config" password= XXXXXXXXXX peer="ProtonVPN server" policy-template-group=ProtonVPN username=XXXXXXXXXX
/ip ipsec policy add dst-address=0.0.0.0/0 group=ProtonVPN proposal="ProtonVPN proposal" src-address=0.0.0.0/0 template=yes


#Fasttrack из файрвола удалил (вроде)
#MSS поправил
/ip firewall mangle add action=change-mss chain=forward new-mss=1360 passthrough=yes protocol=tcp connection-mark=under_protonvpn tcp-flags=syn tcp-mss=!0-1360
VPN клиент поднимается, работает. Но режет скорость (IKEv2 на компе через плиента Windows 100M, через Mikrotic выдает до 20М).
Подскажите можно ли поправить ситуацию?

Спасибо заранее
 КОНФИГ
[admin@durka-router] > export
# may/01/2022 18:16:55 by RouterOS 6.49.6
# software id = 7S9G-HV9W
#
# model = 2011UiAS
# serial number = 697C05A49357
/caps-man channel
add band=2ghz-b/g/n name=ch24
add band=5ghz-a/n/ac name=ch5
/interface bridge
add admin-mac=E4:8D:8C:7E:A7:C6 auto-mac=no comment=defconf fast-forward=no name=bridge
/interface ethernet
set [ find default-name=ether1 ] speed=100Mbps
set [ find default-name=ether2 ] name=ether2-master speed=100Mbps
set [ find default-name=ether3 ] speed=100Mbps
set [ find default-name=ether4 ] speed=100Mbps
set [ find default-name=ether5 ] speed=100Mbps
set [ find default-name=ether6 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full name=ether6-master
set [ find default-name=ether7 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether8 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether9 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
set [ find default-name=ether10 ] advertise=10M-half,10M-full,100M-half,100M-full,1000M-half,1000M-full
/caps-man datapath
add bridge=bridge client-to-client-forwarding=yes local-forwarding=no name=main-datapath
/caps-man security
add authentication-types=wpa2-psk encryption=aes-ccm name=main-sec passphrase=peer285@past
/caps-man configuration
add country=russia datapath=main-datapath datapath.bridge=bridge datapath.local-forwarding=yes mode=ap name=durka-rouming rx-chains=0,1,2 security=main-sec ssid=DURKA \
tx-chains=0,1,2
add channel=ch24 country=russia datapath=main-datapath datapath.bridge=bridge mode=ap name=durka-smart rx-chains=0,1,2,3 security=main-sec ssid=DURKA-SMART tx-chains=\
0,1,2,3
/interface list
add exclude=dynamic name=discover
add name=mactel
add name=mac-winbox
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec mode-config
add connection-mark=under_protonvpn name="ProtonVPN mode config" responder=no
/ip ipsec policy group
add name=ProtonVPN
/ip ipsec profile
add dh-group=modp4096,modp2048,modp1024 dpd-interval=disable-dpd enc-algorithm=aes-256 hash-algorithm=sha256 name="ProtonVPN profile"
/ip ipsec peer
add address=uk.protonvpn.com exchange-mode=ike2 name="ProtonVPN server" profile="ProtonVPN profile"
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256 enc-algorithms=aes-256-cbc pfs-group=modp2048
add auth-algorithms=sha256 enc-algorithms=aes-256-cbc lifetime=0s name="ProtonVPN proposal" pfs-group=none
/ip pool
add name=dhcp ranges=10.20.100.50-10.20.100.220
/ip dhcp-server
add address-pool=dhcp authoritative=after-2sec-delay disabled=no interface=bridge name=defconf
/caps-man manager
set enabled=yes
/caps-man provisioning
add action=create-dynamic-enabled master-configuration=durka-rouming slave-configurations=durka-smart
/interface bridge port
add bridge=bridge comment=defconf interface=ether2-master
add bridge=bridge comment=defconf interface=ether6-master
add bridge=bridge comment=defconf hw=no interface=sfp1
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether7
add bridge=bridge interface=ether8
add bridge=bridge interface=ether9
add bridge=bridge interface=ether10
/ip neighbor discovery-settings
set discover-interface-list=discover
/interface list member
add interface=sfp1 list=discover
add interface=ether2-master list=discover
add interface=ether3 list=discover
add interface=ether4 list=discover
add interface=ether5 list=discover
add interface=ether6-master list=discover
add interface=ether7 list=discover
add interface=ether8 list=discover
add interface=ether9 list=discover
add interface=ether10 list=discover
add interface=bridge list=discover
add interface=bridge list=mactel
add interface=bridge list=mac-winbox
/ip address
add address=10.20.100.1/24 comment="temp address for diag" interface=ether2-master network=10.20.100.0
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server lease
add address=10.20.100.10 mac-address=BC:AD:28:0C:F1:D5
add address=10.20.100.84 client-id=1:b8:27:eb:75:8c:6f mac-address=B8:27:EB:75:8C:6F server=defconf
add address=10.20.100.102 client-id=1:0:11:32:70:a8:8b mac-address=00:11:32:70:A8:8B server=defconf
add address=10.20.100.52 client-id=1:78:4f:43:53:43:c2 mac-address=78:4F:43:53:43:C2 server=defconf
add address=10.20.100.209 client-id=1:a8:a1:59:48:9:8c mac-address=A8:A1:59:48:09:8C server=defconf
add address=10.20.100.55 client-id=1:c8:69:cd:47:ba:6 mac-address=C8:69:CD:47:BA:06 server=defconf
/ip dhcp-server network
add address=10.20.100.0/24 comment=defconf gateway=10.20.100.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=10.20.100.1 name=router
/ip firewall address-list
add address=10.20.100.0/24 list=local
add address=10.20.100.128 list=under_protonvpn
add address=10.20.100.55 list=under_protonvpn
/ip firewall filter
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept establieshed,related" connection-state=established,related
add action=accept chain=input dst-port=8603 protocol=tcp
add action=add-src-to-address-list address-list=WOL_SEVEROK address-list-timeout=none-dynamic chain=input comment="WOL SEVEROK" dst-address=195.91.233.238 dst-port=19822 \
protocol=tcp
add action=drop chain=input comment="defconf: drop all from WAN" in-interface=ether1
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
/ip firewall mangle
add action=mark-connection chain=prerouting new-connection-mark=under_protonvpn passthrough=yes src-address-list=under_protonvpn
add action=mark-connection chain=prerouting new-connection-mark=under_protonvpn passthrough=yes src-address-list=under_protonvpn
add action=mark-connection chain=prerouting new-connection-mark=under_protonvpn passthrough=yes src-address-list=under_protonvpn
add action=mark-connection chain=prerouting new-connection-mark=under_protonvpn passthrough=yes src-address-list=under_protonvpn
add action=change-mss chain=forward connection-mark=under_protonvpn new-mss=1360 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=!0-1375
add action=change-mss chain=forward connection-mark=under_protonvpn new-mss=1360 passthrough=yes protocol=tcp tcp-flags=syn tcp-mss=!0-1360
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=ether1
add action=netmap chain=dstnat dst-address=195.91.178.11 dst-port=62351 in-interface=ether1 protocol=tcp to-addresses=10.20.100.6 to-ports=8000
add action=netmap chain=dstnat dst-address=195.91.178.11 dst-port=45376 protocol=tcp to-addresses=10.20.100.5 to-ports=554
add action=netmap chain=dstnat dst-address=195.91.178.11 dst-port=45377 protocol=tcp to-addresses=10.20.100.5 to-ports=8000
add action=netmap chain=dstnat dst-address=195.91.178.11 dst-port=54734 protocol=tcp to-addresses=10.20.100.4 to-ports=80
add action=netmap chain=dstnat dst-address=195.91.178.11 dst-port=54735 in-interface=ether1 protocol=tcp to-addresses=10.20.100.4 to-ports=8000
add action=netmap chain=dstnat dst-address=195.91.178.11 dst-port=62352 in-interface=ether1 protocol=tcp to-addresses=10.20.100.5 to-ports=8000
add action=netmap chain=dstnat dst-address=195.91.178.11 dst-port=54737 protocol=tcp to-addresses=10.20.100.4 to-ports=80
add action=netmap chain=dstnat dst-address=195.91.178.11 dst-port=53287 protocol=tcp to-addresses=10.20.100.3 to-ports=80
add action=netmap chain=dstnat dst-address=195.91.178.11 dst-port=58643 protocol=tcp to-addresses=10.20.100.4 to-ports=8000
add action=netmap chain=dstnat dst-address=195.91.178.11 dst-port=54644 protocol=tcp to-addresses=10.20.100.8 to-ports=80
add action=netmap chain=dstnat dst-address=195.91.233.238 dst-port=7496 protocol=tcp src-address=45.151.144.53 to-addresses=10.20.100.52 to-ports=7496
add action=netmap chain=dstnat dst-address=195.91.233.238 dst-port=14926 protocol=tcp to-addresses=10.20.100.209 to-ports=3389
add action=netmap chain=dstnat dst-address=195.91.233.238 dst-port=37520 protocol=tcp to-addresses=10.20.100.2 to-ports=80
add action=netmap chain=dstnat dst-address=195.91.233.238 dst-port=37521 protocol=tcp to-addresses=10.20.100.3 to-ports=80
/ip ipsec identity
add auth-method=eap certificate="ProtonVPN CA" eap-methods=eap-mschapv2 generate-policy=port-strict mode-config="ProtonVPN mode config" password=XXX \
peer="ProtonVPN server" policy-template-group=ProtonVPN username=XXX
/ip ipsec policy
add dst-address=0.0.0.0/0 group=ProtonVPN proposal="ProtonVPN proposal" src-address=0.0.0.0/0 template=yes
/ip service
set www port=8603
/ip ssh
set allow-none-crypto=yes forwarding-enabled=remote
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=durka-router
/system scheduler
add comment=WOL_SEVEROK interval=15s name=WOL_SEVEROK on-event=":local WOL_SEVEROK [/ip firewall address-list find where list=\"WOL_SEVEROK\"]\
\n:if (\$WOL_SEVEROK!=\"\") do={\
\n/tool wol mac=A8:A1:59:48:09:8C interface=ether2-master\
\n/ip firewall address-list remove [find where list=\"WOL_SEVEROK\"]\
\n}" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=mar/05/2021 start-time=08:35:45
/system script
add comment="WOL SEVEROK" dont-require-permissions=no name="WOL SEVEROK" owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=\
"/tool wol mac=A8:A1:59:48:09:8C interface=ether2-master; quit"
/tool mac-server
set allowed-interface-list=mactel
/tool mac-server mac-winbox
set allowed-interface-list=mac-winbox


Вернуться к началу
AllSaints
Сообщения: 2
Зарегистрирован: 01 май 2022, 22:43

Видимо RB2011 древняя железка и ipsec hardware acceleration не умеет...


Вернуться к началу
Аватара пользователя
hardrockbaby
Сообщения: 70
Зарегистрирован: 19 сен 2021, 16:11

Попробуйте aes-128. Возможно, немного прибавится скорости, если такой тип шифра разрешит сервер :du_ma_et:


Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»