Тунель низкая скорость (L2TP, IPsec, EoIP на 941-2nD hap lite)

Обсуждение оборудования и его настройки
Ответить
igorlv
Сообщения: 13
Зарегистрирован: 09 авг 2017, 14:41

Здравствуйте
хотел подключить свой дом к офису
в офисе стоит RouterBOARD 750G r3
у меня дома RouterBOARD 941-2nD hap lite

Я поднял в офисе L2TP Server и поднял IPsec
и внутри этого я поднял EoIP Tunnel (поскольку сети имели одну адресацию)

Все работает все меня устраивает...
Но есть одно но
В офисе входной канал 100мегабит
Дома входной канал 40 мегабит
Между офисом и домом 1.5 мегабита (туда и обратно)
загрузка проца в офисе примерно (в момент большого копирования) даже не 10 %
загрузка дома (железка послабее) 75%.
основной процесс шифрование

Вопрос относительно низкой скорости
У меня есть где-то ошибка?
сколько можно выжать скорость (при такой конфигурации L2TP, IPsec, EoIP ) с 941-2nD hap lite?
Или я больше не смогу получить и надо менять 941-2nD hap lite на что-то более быстрое
делал все по этой статье http://podarok66.livejournal.com/4101.html

Спасибо за ответ


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Да, не вытянет.
Не используйте шифрование.

PPtP самый быстрый, OpenVPN тоже...
http://mikrotik.vetriks.ru/wiki/%D0%A2% ... 0%BB%D0%B0

А вообще на производительность напрямую влияют правила фаерволла, чем их больше, тем больше нагрузка. Если у вас их много, то они тоже могут негативно сказываться.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Да, забыл, есть еще gre, он, если без шифрования, наверное самый простой и быстрый.


igorlv
Сообщения: 13
Зарегистрирован: 09 авг 2017, 14:41

Спасибо за быстрый ответ
1. Если я просто отключу IPsec будет ли это безопасно (ну я не за дом :-) за офис беспокоюсь) ? Как считаете?
2. Как бы Вы обыграли мою ситуацию с EoIP на 941-2nD hap lite? (какую связку протоколов) (может есть инструкция под рукой?)
3. Чисто теоретически... если купить Cloud Hosted Router (CHR) 2000р и поставить под hyper-v (вместо hap lite, его сделать бриджом ) ... как думаете такая связка даст стабильность и скорость?
4.касательно правил фаервола ... их не много кажется (со всеми -всеми 12шт )
5.Еще хотел спросить Вас, как Вы считаете размер МТУ у меня правильно сделан?

Name Type Actual MTU L2 MTU
ether1 Ethernet 1500 1598
ether2-master Ethernet 1500 1598
ether3 Ethernet 1500 1598
ether4 Ethernet 1500 1598
wlan1 Wireless 1500 1600
pppoe-out2 PPPoE Client 1480
l2tp-Serv-Offic L2TP Client 1450

bridge Bridge 1408 1598
eoip-tun-Office-Serv EoIP Tunnel 1408 65535


Аватара пользователя
Kato
Сообщения: 271
Зарегистрирован: 17 май 2016, 04:23
Откуда: Primorye

К слову, низкая скорость это же безопасность. может оставить как есть?..


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

1. Безопасность она разная бывает. Она бывает теоретическая (на всякий случай) и обязательно (банки, суды и так далее). Я не сильно по этому поводу заморачиваюсь.
2. Если у вас и дома и на работе белые IP, то gre, если только на работе, OpenVPN.
3. Поставить куда? На x86??? Если да, то на x86 прирост производительности будет просто офигительный...
4. Правило-правилу рознь, одно работает пару раз в сутки, другое гоняет весь трафик через себя. Тут нужно конкретно в вашей ситуации смотреть.
5. MTU, даже если и даст прирост производительности - это не те цифры, которые вы ожидаете. На Ether портах не стоит ничего менять. MTU обычно меняют только на WAN портах.

У всех разные задачи, мне vpn нужен только для RDP, я не перекачиваю большие объемы по нему. Мне хватит даже sstp.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Вам всё правильно сказали и посоветовали,
я лишь хочу отметить (сделать акцент) на пару вещах:

а) всё же у Вас сборная солянка, зачем "тяжёлый" L2TP использовать + шифрование?
Даже на мощных железных роутерах Микротика при включении шифрование, терял 15-30% в скорости.
Потом также для дома зачем использовать EoIP - не ужто так нужно сетевое окружение?
Зачем гнать внутри шифрованного канала бродкаст? Протокол EoIP - надо с умом использовать.
(всё равно что разговаривать по дорогой спутниковой связи и нарваться на автоответчик) :sh_ok:

б) ну и не забывайте что роутер 941 - самый слабый (хотя щас есть 931 моделька), но 941/931
собраны на архитектуре smips, и они достаточно слабенькие и скромно работают.

P.S.
По итогу, сделать "голый" туннель, дома создать другую подсетку (L3-уровень), настроить статическую маршрутизацию,
получаем рабочую связь, смотрим скорость, берём её за эталонную.
Потом уже тюннинг и эксперименты уже с РРТР/L2TP/oVPN и так далее.
Находим середину между скоростью и безопасностью, и радуемся.

P.P.S.

Да, виртуальный микротик даст прирост, но туннель работает в рамках одного порта и грузит одно ядро,
так что скорости будут слегка выше, но упрётесь в ограничения одного ядра.
(можете потестировать локально с микротика на микротик по витой паре)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить