Russian Users MikroTik | Форум пользователей MikroTik

Всем привет, прошу помощи в решении вопроса. Мне требуется L2TP/Ipsec для подключения домой. Шлюзом выступает RB951G-2HnD (куплен несколько лет назад поиграться), на котором и поднят сервер L2TP/IPsec. Почему именно L2TP - потому что нужно иметь возможность подключения с айфонов, айпедов, различных компов, он везде есть и неплохо работает. Собственно на данный момент все работает, НО скорость в районе 3 Мегабайт (20-25 Мегабит)и загрузка процессора микротика на 100%. Видел подобную тему на форуме, но там человек просто решил использовать другой метод подключения.
Собственно вопрос, возможно ли как-то облегчить шифрование, чтобы поднять скорость обмена или же это не даст значительного прироста и стоит смотреть в сторону более мощного железа? И если второе, то какую модель можете порекомендовать, пока присматриваюсь к RB3011UIAS-RM, как к наиболее бюджетной, однако не уверен хватит ли мощности процессора выжать хотя бы 60-80 Мегабит, хотелось бы все 100 в идеале.
Ниже мои настройки касающиеся L2TP/IPsec, остальное по умолчанию:

Код: Выделить всё

RouterOS 6.40.4
/ip pool
add name=l2tp_pool ranges=10.0.0.5-10.0.0.10
/ppp profile
add change-tcp-mss=yes local-address=10.0.0.1 name=L2TP-Server remote-address=l2tp_pool use-compression=no use-encryption=no use-mpls=yes
/interface l2tp-server server
set authentication=mschap2 default-profile=L2TP-Server enabled=yes ipsec-secret=**** use-ipsec=yes
/ip firewall filter
add action=accept chain=input comment="Allow L2TP" dst-port=1701,500,4500 protocol=udp
add action=accept chain=input disabled=yes log=yes protocol=ipsec-esp
/ppp secret
add name=**** password=**** profile=L2TP-Server service=l2tp

Тут пробовал менять типы шифрования, тогда не подключается:

Код: Выделить всё

[admin@MikroTik] >> /ip ipsec proposal print 
Flags: X - disabled, * - default 
 0  * name="default" auth-algorithms=sha1 enc-algorithms=aes-128-cbc lifetime=30m pfs-group=modp1024
 
Ниже все по умолчанию:

 [admin@MikroTik] >> /ip ipsec policy print  
Flags: T - template, X - disabled, D - dynamic, I - invalid, A - active, * - default 
 0 T * group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes
 
 [admin@MikroTik] >> /ip ipsec peer print  
Flags: X - disabled, D - dynamic, R - responder 
 0  DR address=::/0 passive=yes auth-method=pre-shared-key secret="****" generate-policy=port-strict policy-template-group=default exchange-mode=main-l2tp 
       send-initial-contact=yes nat-traversal=yes proposal-check=obey hash-algorithm=sha1 enc-algorithm=aes-256,aes-192,aes-128,3des dh-group=modp2048,modp1024 l
       dpd-interval=2m dpd-maximum-failures=5

Был бы благодарен за любые советы.

Ну и запросы у Вас.. 100Мб\с на L2TP/IPsec...
3011 конечно посерьёзнее чем 951, но не насколько.
Тут нужно смотреть в сторону CCR, хотя есть многообещающий RB750Gr3, но ничего о нём с казать не могу.

Maxval писал(а):Собственно вопрос, возможно ли как-то облегчить шифрование, чтобы поднять скорость обмена или же это не даст значительного прироста и стоит смотреть в сторону более мощного железа?

используйте des/3des, зачем грузить и без того слабый процессор микротика AESом.

Maxval писал(а):И если второе, то какую модель можете порекомендовать, пока присматриваюсь к RB3011UIAS-RM, как к наиболее бюджетной, однако не уверен хватит ли мощности процессора выжать хотя бы 60-80 Мегабит, хотелось бы все 100 в идеале.

Код: Выделить всё

https://wiki.mikrotik.com/wiki/Manual:IP/IPsec
Hardware encryption

Hardware acceleration allows to do faster encryption process by using built-in encryption engine inside CPU. AES-CBC and sha1/sha256 are the only algorithms that uses these features, any other combination will fall back to software.

List of RouterBoards with enabled hardware support:

    RB1100AHx4
    hEX v3 (RB750Gr3 model only)
    All Cloud Core Router (CCR) series devices
    RB1100AHx2
    RB1000
    RB850Gx2 (only manufactured since 2016, serial numbers that begin with number 5 and 7)

Dragon_Knight писал(а):Ну и запросы у Вас.. 100Мб\с на L2TP/IPsec...
3011 конечно посерьёзнее чем 951, но не насколько.

Ну как говорится - хотеть не вредно =)

kt72ru писал(а):используйте des/3des, зачем грузить и без того слабый процессор микротика AESом.

Так вот я когда в настройках ipsec proposal меняю типы шифрования, то либо еще медленней становится, либо совсем не подключается. Я конечно понимаю что все дело в кривых руках, но более подробной информации найти не смог. Все мануалы как под копирку с незначительными изменениями и складывается ощущение, что авторы сами не понимаю что и для чего они настраивают. Самое дельное это официальная вики, но что-то у меня не получается до конца понять настройку ipsec.

kt72ru писал(а):List of RouterBoards with enabled hardware support:

hEX v3 (RB750Gr3 model only)

А вот это действительно интересно, даже куплю из любопытства. Судя по обзорам он идеально мне подойдет, да и цена потрясающая (3500р). Покупать операторские маршрутизаторы от 20к не очень хочется, это как крайняя мера если другое решение не будет найдено.

Соглашусь с предыдущим высказыванием,
надо знать канальную скорость Вашу (или Вашего тарифного плана)
потом проверить Ваш канал без шифрования в L2TP (но с учётом инкапсуляции провайдерской)
ну и уже потом поиграться с шифрованием.

И в любом случаи 750Gr3 будет лучше и производительнее, чем 951, но помните, в 750 нет ВиФи,
так что возможно надо будет делать на 750 основную работу, а 951 использовать как ТД.

mrrc писал(а):По настройке L2TP+IPSec проходило тут.
А какова у вас скорость и стабильность соединения вовлеченных в передачу сторон?
Отключить IPSec от L2TP пробовали, попробовать без шифрования скоростные показатели проверить? Скорее всего, RB750Gr3 картину не поменяет как бы вы хотели видеть.

Спасибо за ссылку, однако у меня проблем с подключением не возникает и, к сожалению, без IPSec никак, ибо с айфона/айпеда работает только связка L2tp/ipsec.
На стороне микротика канал 100 Мбит/с симметричный. Подключаюсь как с LTE, 3G, так и с компов с каналом 100Мбит/с. Собственно они и являются для меня ориентиром, хотелось бы получать с них 60-80 стабильных мегабит. Так же у меня происходит синхронизация файлов посредством Resilio Sync, и там скорость забивает весь канал между этими же 2 компьютерами, микротик загружен в среднем на 80% в это время. Так что, на мой взгляд, все упирается именно в невозможность RB951G-2HnD справиться с нагрузкой. Конечно есть вероятность, что при замене микротика на более мощный, в дальнейшем может уже провайдер начать резать канал из-за высокой нагрузки, но пока явно не вытягивает микротик.

Ну а RB750Gr3 я уже заказал, завтра заберу и уже точно смогу понять подойдет или нет, в крайнем случае всегда можно продать на авито =)

Vlad-2 писал(а):потом проверить Ваш канал без шифрования в L2TP (но с учётом инкапсуляции провайдерской)
ну и уже потом поиграться с шифрованием.

И в любом случаи 750Gr3 будет лучше и производительнее, чем 951, но помните, в 750 нет ВиФи,
так что возможно надо будет делать на 750 основную работу, а 951 использовать как ТД.

Сегодня вечером попробую без шифрования поиграть с L2TP. К провайдеру подключение через Ppoe, с другой стороны статика. Вайфай раздается через другую железку, так что с ним нет проблем.

Вобщем сегодня приобрел чудо-микротик RB750Gr3, настройки сделал аналогичные (описаны выше) с пустой конфигурации (не импортом файла и без дефолтной). Получил скорость в среднем 8.5 мегабайт (около 80 мегабит). Процессор загружен в среднем на 40%. Если скорость проскакивала повыше 9-9.5 было 45-50%. Железка конечно зверь, прокачивает l2tp/ipsec без каких либо проблем. Если кому-то что-то интересно по этому микротику задавайте вопросы, попробую ответить. Всем спасибо за помощь. =)

На будущее, не смотрите общую загрузку, смотрите загрузку по ядрам, особенности ROS таковы, что один интерфейс грузит одно ядро и все что висит на этом интерфейсе, тоннели как серверные, так и клиентские, все это ляжет на одно и тоже ядро, что обрабатывает интерфейс. Не утверждаю, но быть может прямо сейчас у вас 100% по одному ядру и скорости выше вы уже не получите.

KARaS'b писал(а):На будущее, не смотрите общую загрузку, смотрите загрузку по ядрам, особенности ROS таковы, что один интерфейс грузит одно ядро и все что висит на этом интерфейсе, тоннели как серверные, так и клиентские, все это ляжет на одно и тоже ядро, что обрабатывает интерфейс. Не утверждаю, но быть может прямо сейчас у вас 100% по одному ядру и скорости выше вы уже не получите.

Спасибо за это уточнее! Я руководствовался схемой с офф сайта и раскидал нагрузку по разным портам (1 - инет,3 -лан, 4-wifi). Бриджей не делал, указал eth2 как мастер порт, возможно стоит перекинуть eth3 лан на eth2... Буду благодарен за совет, как более грамотно это все организовать.

у 750gr3 аппаратное шифрование, у 951 - программное. Вот и загруженность под 100%

Russian Users MikroTik | Форум пользователей MikroTik

И снова L2TP/IPsec, повышение скорости

И снова L2TP/IPsec, повышение скорости

Re: И снова L2TP/IPsec, повышение скорости

Re: И снова L2TP/IPsec, повышение скорости

Re: И снова L2TP/IPsec, повышение скорости

Re: И снова L2TP/IPsec, повышение скорости

Re: И снова L2TP/IPsec, повышение скорости

Re: И снова L2TP/IPsec, повышение скорости

Re: И снова L2TP/IPsec, повышение скорости

Re: И снова L2TP/IPsec, повышение скорости

Re: И снова L2TP/IPsec, повышение скорости