Низкая скорость через туннель.

Обсуждение оборудования и его настройки
Ответить
kolorit25
Сообщения: 1
Зарегистрирован: 16 окт 2018, 06:40

Добрый день.

Стали поступать жалобы с филиала, на долгую загрузку сетевых документов, и приложений.
Сначала, что мы имеем:

Основной офис:
Маршрутизатор Mikrotik 3011UiAS - 98 GRE туннелей с навернутым на них ipsec, поднят ospf
L2 канал с проблемным филиалом, максимально заявленная скорость - 100Мб\с

Филиал:
Маршрутизатор Mikrotik 3011UiAS - два туннеля до основного офиса. Основный - через L2 канал провайдера, резервный - через обычное Интернет соединение.

Итак, как собственно все реализовано:
Поднят GRE туннель , в политиках ipsec указанно шифровать GRE трафик между концами туннеля. Далее к туннелю прикручен OSPF.

Теперь собственно о проблеме:
Тестировал таким образом, в головном офисе, у себя на машине, запускаю iperf и шлю трафик на машину с iperf в филиале.
Скорость порядка 1Мб\с иногда меньше.
Делаю Btest на mikrotik - скорость - в районе 10Мб\с. ( трафик идет через туннель, пробовал и tcp и udp)
Но самое интересное, что данная проблема возникает только утром, через 2-3 часа iperf показывает 5-8 Мб\с

Что делал:
Отключал шифрование - результата нет, пробовал другие типы туннелей - тоже самое.
Проверял связь между двумя машинами без туннеля (Напрямую, через L2-канал), скорость 10-15 Мб\с.
Тут же смотрю через туннель - 0.5-1.5 Мб\с ( с шифрованием и без).

Общался с техподом провайдера, он попросил дать ему ip-адрес машины(которая смотрит непосредственно в L2) на одном конце и ip-адрес на другом, чтобы протестить. Но дело в том, что я так пробовал - скорость нормальная.
MTU понижал и на туннеле и на интерфейсе - результата ноль.

Прилагаю конфиги:

1. Филиал

/interface ipip (Сам туннель, на данный момент сменил тип на ipip, но результат нулевой)
add !keepalive local-address=172.24.11.252 mtu=1200 name=IPIP_PODRYAD remote-address=172.24.11.253
/ip address
add address=172.24.11.252/29 comment=PODRYAD interface=Podryad network=172.24.11.248
add address=172.24.10.246/30 comment="TUNNEL PODRYAD IP" interface=IPIP_PODRYAD network=172.24.10.244
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input dst-address=224.0.0.5 protocol=ospf
add action=accept chain=output dst-address=224.0.0.5 protocol=ospf
add action=accept chain=input dst-address=224.0.0.6 protocol=ospf
add action=accept chain=output dst-address=224.0.0.6 protocol=ospf
add action=accept chain=input src-address-list=ALLOW_IP
add action=accept chain=output dst-address-list=ALLOW_IP
add action=accept chain=forward dst-address-list=ALLOW_IP
add action=accept chain=forward src-address-list=ALLOW_IP
add action=drop chain=input
add action=drop chain=output
/ip ipsec peer
add address=172.24.11.253/32 dh-group=modp1024 enc-algorithm=aes-128 nat-traversal=no secret=******
/ip ipsec policy
add dst-address=172.24.11.253/32 proposal=Cisco protocol=ipencap sa-dst-address=172.24.11.253 sa-src-address=172.24.11.252 src-address=172.24.11.252/32 tunnel=yes
/routing ospf interface
add cost=5 interface=IPIP_PODRYAD network-type=point-to-point
/routing ospf network
add area=area1 network=172.24.10.240/30
add area=area1 network=172.24.10.244/30
add area=area1 network=172.24.8.0/27
/routing ospf instance
set [ find default=yes ] disabled=yes redistribute-connected=as-type-1 router-id=172.24.10.223
add name=ospf1 router-id=172.24.10.223
/routing ospf area
add area-id=0.0.3.232 instance=ospf1 name=area1


2. Основной офис.

/interface ipip
add !keepalive local-address=172.24.11.253 mtu=1200 name=IPIP_OBR_PODRYAD remote-address=172.24.11.252
/interface vlan
add comment=Russkaya interface=ether2-master mtu=1400 name=VLAN625_PODRYAD vlan-id=625
/ip address
add address=172.24.10.245/30 interface=IPIP_OBR_PODRYAD network=172.24.10.244
add address=172.24.11.253/29 interface=VLAN625_PODRYAD network=172.24.11.248
/ip firewall filter
add action=accept chain=input dst-address=172.24.10.13 src-address=172.24.10.0/25
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=output dst-address=172.24.10.0/25 src-address=172.24.10.13
add action=accept chain=forward disabled=yes
add action=accept chain=input disabled=yes
add action=accept chain=output disabled=yes
add action=accept chain=input comment="defconf: accept established,related" connection-state=established,related
add action=drop chain=input comment="defconf: drop all from WAN" disabled=yes in-interface=ether1
add action=accept chain=forward comment="defconf: accept established,related"
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid disabled=yes
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface=ether1
add action=accept chain=forward
add action=accept chain=input
add action=accept chain=output
/ip ipsec peer
add address=172.24.11.252/32 comment="OBR PODRYAD" dh-group=modp1024 enc-algorithm=aes-128 secret=*****
/ip ipsec policy
add comment="OBR PODRYAD" dst-address=172.24.11.252/32 protocol=ipencap sa-dst-address=172.24.11.252 sa-src-address=172.24.11.253 src-address=172.24.11.253/32 tunnel=yes
/routing ospf interface
add cost=5 interface=IPIP_OBR_PODRYAD network-type=point-to-point
/routing ospf network
add area=area1000 network=172.24.10.244/30
/routing ospf area
add area-id=0.0.3.232 name=area1000
/routing ospf instance
set [ find default=yes ] redistribute-static=as-type-1 router-id=172.24.10.194


Не могу выложить полный конфиг, сами понимаете - безопасность.
Если что-то нужно ещё - готов предоставить.

Изначально в филиале был mikrotik 2011, думал, может не тянет и поставил 3011.
Загрузка процессоров у обоих минимальная.

Если кто-то сталкивался с подобным и может помочь советом - буду рад :-):


Ответить