И снова L2TP/IPsec, повышение скорости

Обсуждение оборудования и его настройки
Аватара пользователя
Maxval
Сообщения: 7
Зарегистрирован: 10 май 2014, 10:00

Всем привет, прошу помощи в решении вопроса. Мне требуется L2TP/Ipsec для подключения домой. Шлюзом выступает RB951G-2HnD (куплен несколько лет назад поиграться), на котором и поднят сервер L2TP/IPsec. Почему именно L2TP - потому что нужно иметь возможность подключения с айфонов, айпедов, различных компов, он везде есть и неплохо работает. Собственно на данный момент все работает, НО скорость в районе 3 Мегабайт (20-25 Мегабит)и загрузка процессора микротика на 100%. Видел подобную тему на форуме, но там человек просто решил использовать другой метод подключения.
Собственно вопрос, возможно ли как-то облегчить шифрование, чтобы поднять скорость обмена или же это не даст значительного прироста и стоит смотреть в сторону более мощного железа? И если второе, то какую модель можете порекомендовать, пока присматриваюсь к RB3011UIAS-RM, как к наиболее бюджетной, однако не уверен хватит ли мощности процессора выжать хотя бы 60-80 Мегабит, хотелось бы все 100 в идеале.
Ниже мои настройки касающиеся L2TP/IPsec, остальное по умолчанию:

Код: Выделить всё

RouterOS 6.40.4
/ip pool
add name=l2tp_pool ranges=10.0.0.5-10.0.0.10
/ppp profile
add change-tcp-mss=yes local-address=10.0.0.1 name=L2TP-Server remote-address=l2tp_pool use-compression=no use-encryption=no use-mpls=yes
/interface l2tp-server server
set authentication=mschap2 default-profile=L2TP-Server enabled=yes ipsec-secret=**** use-ipsec=yes
/ip firewall filter
add action=accept chain=input comment="Allow L2TP" dst-port=1701,500,4500 protocol=udp
add action=accept chain=input disabled=yes log=yes protocol=ipsec-esp
/ppp secret
add name=**** password=**** profile=L2TP-Server service=l2tp


Тут пробовал менять типы шифрования, тогда не подключается:

Код: Выделить всё

[admin@MikroTik] >> /ip ipsec proposal print 
Flags: X - disabled, * - default
 0  * name="default" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=30m pfs-group=modp1024
 
Ниже все по умолчанию:

 [admin@MikroTik] >> /ip ipsec policy print 
Flags: T - template, X - disabled, D - dynamic, I - invalid, A - active, * - default
 0 T * group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes
 
 [admin@MikroTik] >> /ip ipsec peer print 
Flags: X - disabled, D - dynamic, R - responder
 0  DR address=::/0 passive=yes auth-method=pre-shared-key secret="****" generate-policy=port-strict policy-template-group=default exchange-mode=main-l2tp
       send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-256,aes-192,aes-128,3des dh-group=modp2048,modp1024 l
       dpd-interval=2m dpd-maximum-failures=5

 


Был бы благодарен за любые советы.


Аватара пользователя
Dragon_Knight
Сообщения: 1724
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Ну и запросы у Вас.. 100Мб\с на L2TP/IPsec...
3011 конечно посерьёзнее чем 951, но не насколько.
Тут нужно смотреть в сторону CCR, хотя есть многообещающий RB750Gr3, но ничего о нём с казать не могу.


Небольшой свод правил логики и ссылок:
  1. Если устройство имеет Ethernet порт, то оно обязано быть подключено через него. Компьютер, Ноутбук, Телевизор, Принтер, Камера видеонаблюдения, и т.д.
  2. Если нет возможности протянуть кабель, то найдите её, или страдайте со своими проблемами Wi-Fi дальше.
  3. Wi-Fi это сеть для мобильных устройств. Если Вы подключили свой шикарный 50" телевизор не кабелем, то без фотоотчёта, когда он лежит у Вас в кармане дальнейшего разговора не получиться. Это относится и ко всем остальным устройствам.
  4. Если Ваше устройство вызывает вопросы в работе, первое что необходимо делать: NetInstall + дальнейшая настройка вручную.
  5. Не используйте WebFig или QuickSet - это пути к глюкам и ошибкам. Только SSH или WinBox, и да, - WinBox есть под Android.
  6. name.rsc - это текстовый файл, и Вы можете его открыть блокнотом.
  7. Если Вы хотите связаться со мной для ремонта или настройки, то: Telegram ( Не благотворительность ).
  8. Мой сайт по Mikrotik: Global Zone >> MikroTik.
kt72ru
Сообщения: 141
Зарегистрирован: 23 июн 2017, 07:55

Maxval писал(а):Собственно вопрос, возможно ли как-то облегчить шифрование, чтобы поднять скорость обмена или же это не даст значительного прироста и стоит смотреть в сторону более мощного железа?

используйте des/3des, зачем грузить и без того слабый процессор микротика AESом.

Maxval писал(а):И если второе, то какую модель можете порекомендовать, пока присматриваюсь к RB3011UIAS-RM, как к наиболее бюджетной, однако не уверен хватит ли мощности процессора выжать хотя бы 60-80 Мегабит, хотелось бы все 100 в идеале.

Код: Выделить всё

https://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Hardware encryption

Hardware acceleration allows to do faster encryption process by using built-in encryption engine inside CPU. AES-CBC and sha1/sha256 are the only algorithms that uses these features, any other combination will fall back to software.

List of RouterBoards with enabled hardware support:

    RB1100AHx4
    hEX v3 (RB750Gr3 model only)
    All Cloud Core Router (CCR) series devices
    RB1100AHx2
    RB1000
    RB850Gx2 (only manufactured since 2016, serial numbers that begin with number 5 and 7)


Аватара пользователя
Maxval
Сообщения: 7
Зарегистрирован: 10 май 2014, 10:00

Dragon_Knight писал(а):Ну и запросы у Вас.. 100Мб\с на L2TP/IPsec...
3011 конечно посерьёзнее чем 951, но не насколько.

Ну как говорится - хотеть не вредно =)

kt72ru писал(а):используйте des/3des, зачем грузить и без того слабый процессор микротика AESом.

Так вот я когда в настройках ipsec proposal меняю типы шифрования, то либо еще медленней становится, либо совсем не подключается. Я конечно понимаю что все дело в кривых руках, но более подробной информации найти не смог. Все мануалы как под копирку с незначительными изменениями и складывается ощущение, что авторы сами не понимаю что и для чего они настраивают. Самое дельное это официальная вики, но что-то у меня не получается до конца понять настройку ipsec.

kt72ru писал(а):List of RouterBoards with enabled hardware support:

hEX v3 (RB750Gr3 model only)

А вот это действительно интересно, даже куплю из любопытства. Судя по обзорам он идеально мне подойдет, да и цена потрясающая (3500р). Покупать операторские маршрутизаторы от 20к не очень хочется, это как крайняя мера если другое решение не будет найдено.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Соглашусь с предыдущим высказыванием,
надо знать канальную скорость Вашу (или Вашего тарифного плана)
потом проверить Ваш канал без шифрования в L2TP (но с учётом инкапсуляции провайдерской)
ну и уже потом поиграться с шифрованием.

И в любом случаи 750Gr3 будет лучше и производительнее, чем 951, но помните, в 750 нет ВиФи,
так что возможно надо будет делать на 750 основную работу, а 951 использовать как ТД.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Maxval
Сообщения: 7
Зарегистрирован: 10 май 2014, 10:00

mrrc писал(а):По настройке L2TP+IPSec проходило тут.
А какова у вас скорость и стабильность соединения вовлеченных в передачу сторон?
Отключить IPSec от L2TP пробовали, попробовать без шифрования скоростные показатели проверить? Скорее всего, RB750Gr3 картину не поменяет как бы вы хотели видеть.


Спасибо за ссылку, однако у меня проблем с подключением не возникает и, к сожалению, без IPSec никак, ибо с айфона/айпеда работает только связка L2tp/ipsec.
На стороне микротика канал 100 Мбит/с симметричный. Подключаюсь как с LTE, 3G, так и с компов с каналом 100Мбит/с. Собственно они и являются для меня ориентиром, хотелось бы получать с них 60-80 стабильных мегабит. Так же у меня происходит синхронизация файлов посредством Resilio Sync, и там скорость забивает весь канал между этими же 2 компьютерами, микротик загружен в среднем на 80% в это время. Так что, на мой взгляд, все упирается именно в невозможность RB951G-2HnD справиться с нагрузкой. Конечно есть вероятность, что при замене микротика на более мощный, в дальнейшем может уже провайдер начать резать канал из-за высокой нагрузки, но пока явно не вытягивает микротик.

Ну а RB750Gr3 я уже заказал, завтра заберу и уже точно смогу понять подойдет или нет, в крайнем случае всегда можно продать на авито =)

Vlad-2 писал(а):потом проверить Ваш канал без шифрования в L2TP (но с учётом инкапсуляции провайдерской)
ну и уже потом поиграться с шифрованием.

И в любом случаи 750Gr3 будет лучше и производительнее, чем 951, но помните, в 750 нет ВиФи,
так что возможно надо будет делать на 750 основную работу, а 951 использовать как ТД.


Сегодня вечером попробую без шифрования поиграть с L2TP. К провайдеру подключение через Ppoe, с другой стороны статика. Вайфай раздается через другую железку, так что с ним нет проблем.


Аватара пользователя
Maxval
Сообщения: 7
Зарегистрирован: 10 май 2014, 10:00

Вобщем сегодня приобрел чудо-микротик RB750Gr3, настройки сделал аналогичные (описаны выше) с пустой конфигурации (не импортом файла и без дефолтной). Получил скорость в среднем 8.5 мегабайт (около 80 мегабит). Процессор загружен в среднем на 40%. Если скорость проскакивала повыше 9-9.5 было 45-50%. Железка конечно зверь, прокачивает l2tp/ipsec без каких либо проблем. Если кому-то что-то интересно по этому микротику задавайте вопросы, попробую ответить. Всем спасибо за помощь. =)


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

На будущее, не смотрите общую загрузку, смотрите загрузку по ядрам, особенности ROS таковы, что один интерфейс грузит одно ядро и все что висит на этом интерфейсе, тоннели как серверные, так и клиентские, все это ляжет на одно и тоже ядро, что обрабатывает интерфейс. Не утверждаю, но быть может прямо сейчас у вас 100% по одному ядру и скорости выше вы уже не получите.


Аватара пользователя
Maxval
Сообщения: 7
Зарегистрирован: 10 май 2014, 10:00

KARaS'b писал(а):На будущее, не смотрите общую загрузку, смотрите загрузку по ядрам, особенности ROS таковы, что один интерфейс грузит одно ядро и все что висит на этом интерфейсе, тоннели как серверные, так и клиентские, все это ляжет на одно и тоже ядро, что обрабатывает интерфейс. Не утверждаю, но быть может прямо сейчас у вас 100% по одному ядру и скорости выше вы уже не получите.

Спасибо за это уточнее! Я руководствовался схемой с офф сайта и раскидал нагрузку по разным портам (1 - инет,3 -лан, 4-wifi). Бриджей не делал, указал eth2 как мастер порт, возможно стоит перекинуть eth3 лан на eth2... Буду благодарен за совет, как более грамотно это все организовать.
Вложения
Нагрузка при передачи файла по l2tp/ipsec по ядрам
Нагрузка при передачи файла по l2tp/ipsec по ядрам
yadra.png (2.73 КБ) 11102 просмотра
Схема линий микротика
Схема линий микротика
RB750Gr3-dsw-161125140316.png (24.21 КБ) 11102 просмотра


Аватара пользователя
romsandj
Сообщения: 143
Зарегистрирован: 17 янв 2017, 08:27
Откуда: Ростовская область

у 750gr3 аппаратное шифрование, у 951 - программное. Вот и загруженность под 100%


Я бы изменил мир, но Бог не даёт исходники...
Обладатель Mikrotik RB951G-2HnD, RB751U-2HnD, hAP Lite (RB941-2nD), SXT Lite 5 (RBSXT5nD)
Ответить