Russian Users MikroTik | Форум пользователей MikroTik

Приветствую, господа!
Не могу определить проблему, возможно она и вовсе не в микротиках, но нужно больше информации, поэтому обращаюсь за помощью, возможно кто-то уже сталкивался.

Имеется туннель между двумя RB 1100AHx2 из Москвы в колокейшн в Сев. Америке. При использовании L2TP+IPSec - никаких проблем, пакеты не теряются, отклик по пингу ~150 мсек, если нагружать туннель трафиком, то скорость передачи вменяемая и время отклика пинга не меняется. В целях упрощения хочу переделать туннель на OpenVPN или SSTP, второй предпочтительней, т.к. и поддерживается windows-клиентами и обеспечивает хорошую заиту и использует популярный порт. Роутинг не меняю, просто кладу первый тоннель и поднимаю второй другого типа, аутентификация та же. самоподписной сертификат, в общем все подключается мгновенно и работает, пинги идут, время отклика такое же. Но стоит загрузить немного канал, например попытаться скопировать файл 20-30 мб и пинги мгновенно вырастают до 400-500, скорость передачи никакая, 20-30 кб\сек и меньше, иногда рвется соединение.
Эта картина наблюдается уже год, то есть я пробовал раньше и возвращал все назад. Сейчас хочется углубиться и найти откуда ноги растут. При подключении win-клиентов из Москвы на колокейшн к микротику картина не меняется, все так же тупит, еле качает и пинги растут. В стране колокейшна при подключении win-клиента всё нормально и скорость и отклик. В Москве то же самое, аналогичные туннели бегают без проблем.
Логично свалить проблему на магистрального провайдера, но как его тыкнуть носом и что от него просить? Или может всё же у меня неверные настройки для такой "дальней магистрали"? MTU\MRU изначально стояли 1400, пробовал и больше и меньше, без разницы. Понимаю, что L2TP это все же UDP и он шустрее, в отличие от остальных PPP, которые у микротика через TCP. Но ведь неспроста это все?
Прошу советов.

Скажите, пожалуйста, какого именно совета вы хотите?
Все ваши мысли правильные, тем более, что другие тоннели работают нормально.
Попробуйте запустить тесты скорости на обеих микротиках и все встанет на свои места. Для интереса запустите тесты на других микротиках, которые в России. Покажите все это провайдеру.

ИМНО передавать большие объемы по таким каналам не сильно эффективно. Обычно работают в терминальных сессиях или RDP.

gmx писал(а):Скажите, пожалуйста, какого именно совета вы хотите?

Хотел как раз подтверждения, что мысли правильные, т.к. всегда можно что-то упустить, так что спасибо вам :)
Большую нагрузку не пускаю. народ как раз внутри тоннеля и работает по telnet, rdp, citrix. В общем я надеялся "а вдруг" кто-то уже сталкивался с подобным ну или опять же вдруг есть некая протокольная фича у микротика. Спасибо за ответ!

Я забыл еще уточнить важную деталь, может быть сможете подсказать еще раз:
пинги растут и все тупит внутри туннеля, снаружи между внешними адресами связь остается нормальной. Сейчас с двух каналов с двух 1100-х поднято по тоннелю на 1100-й который в колокейшене стоит, обы тоннеля L2TP+IPSec, на одном связь нормальная, на втором 280 мсек вместо 150, а вне тоннеля 150 как и должно быть.

Любой тоннель работает медленнее, чем прямое соединение.
При этом L2TP медленнее в несколько раз, а нагрузка на оборудование во столько же раз выше, если не больше.
Поглядите тесты домашних роутеров.

И еще, во время нагрузки на тоннель какой процент загруженности процессора микротика? Да и вообще о каких скоростях идет речь? Могу точно сказать, что один тоннель на скорости 2 мегабита на RB751 отжирает 10-15% ресурсов процессора. Увеличение скорости будет в геометрической прогрессии отъедать ресурсы.

У провайдера не уточняли, он не может резать определённый тип трафика?

Нагрузка на ЦП не превышает 5%, это же 1100-й, а шифрование в IPSec выставлено на AES, там в PPC встроенный блок который хардварно работает с AES. Возможно и провайдер что-то поменял, но у меня просто картинка в целом не клеится, я сейчас распишу от руки, если удобней будет экспортнуть и показать настройки, то подскажите пожалуйста что именно показать.

1 канал ростелеком, поднят L2TP+IPSec, MTU\MRU=1400
время отклика от хоста до хоста - 148~151 мсек
время отклика через тоннель от хоста на колокейшне = 149 мсек
заряжаю копироваться файл 30 метров с хоста на хост, скорость - 3 мегабит, время пинга не меняется

2 канал билайн, раньше был так же L2TP+IPSec, MTU\MRU=1400
время отклика от хоста до хоста - 143~144 мсек
в пятницу отклик внутри тоннеля стал вдвое больше почему-то, т.е. 280 мсек, я решил покопаться и заодно очередной раз попробовать SSTP на новой 6.27
итак сейчас SSTP с PFS, Force AES, MTU\MRU=1460. MPLS, Compression, VJ Compression, Encryption в профиле "No", отклик через тоннель - 145 мсек
При малейшей нагрузке (например заход на шару на машине в колокейшне через тоннель) - пинг поднимается до 300-500 мсек, отклик на действия очень долгий, скорость передачи 20-30 кб\сек
Если вернуть назад на L2TP+IPSec скорость передачи нормальная, но отклик в тоннеле вдвое больше, чем снаружи. Причем роутеры не конфигурились последнее время, всё давно работало, я только обновил роутерос до 6.27 с 6.26, до этого была 6.22 Но если был бы косяк в роутерос, он вылез бы и на втором тоннеле
В общем такое ощущение, что там и магистральный провайдер что-то начудил давно и у меня фигня какая-то. Думал за MTU\MRU, но с ними игрался и никакой разницы.

Не знаю что посоветовать...
Теребите провайдера.

Я такие длинные и скоростные тоннели никогда не поднимал. Я не в Москве живу, у меня тут 5 мегабит правит бал.

Всё же похоже, что проблема не в расстояниях или шейпинге, а в роутеросе.

L2Tp+Ipsec и PPTP работают нормально, под нагрузкой ничего не проседает и исопльзуется максимально доступная скорость.
SSTP и OpenVPN без нагрузки чувствуют себя замечательно. Пускаем трафик, пинги мгновенно удваиваются-утраиваются, иногда падает линк. На коротких расстояниях это не так ощутимо, ибо разница в 8 мсек пинге и 30 мсек несущественная для восприятия.
Есть кто-то у кого работают SSTP или OpenVPN под нагрузкой и без нареканий? Можете показать конфиги? Может это я что-то не то делаю? Хотя там настроек то с гулькин...
У меня самоподписной сертификат, сгенеренный через easy-rsa который идет в комплекте OpenVPN под винды. Аутентификация mschap2, MTU = 1460, Forse AES, PFS,keepalive = 60. С вин-клиентами такая же фигня.