Mike33

Доброго вечера! Никто не в курсе, подвижки по этому вопросу какие есть??

mss я правлю в mangle на 1410. поверял сниффером - работает. /ip firewall mangle add action=change-mss chain=forward ipsec-policy=out,ipsec new-mss=1410 protocol=tcp tcp-flags=syn tcp-mss=!0-1410 ведь ситуация полностью меняется в зависимости от исполнения данных команд: /ip ipsec proposal set [find] enc-algorithms=aes-128-cbc или /ip ipsec proposal set [find] enc-algorithms=blowfish

Так у меня как раз и включено "... enc-algorithms=aes-128-cbc ..". При этом нагрузка на проц действительно минимальна. Но скорость между двумя RB850Gx2 вообще никакая. Переключаю шифр на какой-либо другой - скорость нормальная и нагрузка на проц вырастает.

Похоже какая-то хрень с акселерацией aes в RB850Gx2. Переключил на шифр blowfish и скорость стала нормальной.

Есть сеть на основе трех роутеров: 2 шт. RB850Gx2 и 1 шт. hEX. Все настройки роутеров абсолютно идентичны. Везде стоит RouterOS v. 6.33.3. Провожу тест скорости с помощью Iperf. Тест скорости между "Office 201" (hEX) и "Office 200" (RB850Gx2): [140] 11.0-12.0 sec 4.75 MBytes 4.75 MBytes/sec [140] 16.0-17.0 sec 4.75 MBytes 4.75 MBytes/sec [140] 17.0-18.0 sec 5.00 MBytes 5.00 MBytes/sec [140] 18.0-19.0 sec 4.75 MBytes 4.75 MBytes/sec [140] 19.0-20.0 sec 4.75 MBytes 4.75 MBytes/sec [140] 20.0-21.0 sec 4.75 MBytes 4.75 MBytes/sec [140] 26.0-27.0 sec 4.75 MBytes 4.75 MBytes/sec Тест скорости между "Office 201" (hEX) и "Office 205" (RB850Gx2): [140] 33.0-34.0 sec 4.75 MBytes 4.75 MBytes/sec [140] 40.0-41.0 sec 4.75 MBytes 4.75 MBytes/sec [140] 41.0-42.0 sec 4.75 MBytes 4.75 MBytes/sec [140] 42.0-43.0 sec 4.75 MBytes 4.75 MBytes/sec [140] 43.0-44.0 sec 4.88 MBytes 4.88 MBytes/sec [140] 50.0-51.0 sec 4.75 MBytes 4.75 MBytes/sec [140] 51.0-52.0 sec 4.88 MBytes 4.88 MBytes/sec Тест скорости между "Office 200" (RB850Gx2) и "Office 205" (RB850Gx2): [1908] 816.0-817.0 sec 1.00 MBytes 1.00 MBytes/sec [1908] 825.0-826.0 sec 1.38 MBytes 1.38 MBytes/sec [1908] 826.0-827.0 sec 1.13 MBytes 1.13 MBytes/sec [1908] 827.0-828.0 sec 1.13 MBytes 1.13 MBytes/sec [1908] 828.0-829.0 sec 1.38 MBytes 1.38 MBytes/sec [1908] 829.0-830.0 sec 1.13 MBytes 1.13 MBytes/sec [1908] 830.0-831.0 sec 1.38 MBytes 1.38 MBytes/sec [1908] 836.0-837.0 sec 1.25 MBytes 1.25 MBytes/sec Настройки роутера сети "Office 200" (RB850Gx2): /ip address { remove [find] add address=172.1.200.10/24 interface=WAN add address=192.168.200.253/24 interface=LAN } /ip ipsec peer { add \ address=172.1.201.10/32 \ comment="Office 201" \ secret=123aBc \ auth-method=pre-shared-key enc-algorithm=aes-128 hash-algorithm=md5 dh-group=modp768 disabled=no dpd-interval=30s dpd-maximum-failures=5 \ exchange-mode=main generate-policy=no lifebytes=0 lifetime=1d mode-config=none my-id=auto nat-traversal=no passive=no \ port=500 proposal-check=claim send-initial-contact=yes local-address=:: add \ address=172.1.205.10/32 \ comment="Office 205" \ secret=123aBc \ auth-method=pre-shared-key enc-algorithm=aes-128 hash-algorithm=md5 dh-group=modp768 disabled=no dpd-interval=30s dpd-maximum-failures=5 \ exchange-mode=main generate-policy=no lifebytes=0 lifetime=1d mode-config=none my-id=auto nat-traversal=no passive=no \ port=500 proposal-check=claim send-initial-contact=yes local-address=:: } /ip ipsec proposal add name=vpn1 auth-algorithms=md5 disabled=no enc-algorithms=aes-128-cbc pfs-group=modp768 lifetime=30m /ip ipsec policy { add \ src-address=192.168.200.0/24 dst-address=192.168.201.0/24 sa-src-address=172.1.200.10 sa-dst-address=172.1.201.10 comment="Office 201" \ disabled=no protocol=all src-port=any dst-port=any action=encrypt ipsec-protocols=esp level=require priority=100 proposal=vpn1 tunnel=yes add \ src-address=192.168.200.0/24 dst-address=192.168.205.0/24 sa-src-address=172.1.200.10 sa-dst-address=172.1.205.10 comment="Office 205" \ disabled=no protocol=all src-port=any dst-port=any action=encrypt ipsec-protocols=esp level=require priority=100 proposal=vpn1 tunnel=yes add \ } Настройки роутера сети "Office 201" (hEX): /ip address { remove [find] add address=172.1.201.10/24 interface=WAN add address=192.168.201.253/24 interface=LAN } /ip ipsec peer { add \ address=172.1.200.10/32 \ comment="Office 200" \ secret=123aBc \ auth-method=pre-shared-key enc-algorithm=aes-128 hash-algorithm=md5 dh-group=modp768 disabled=no dpd-interval=30s dpd-maximum-failures=5 \ exchange-mode=main generate-policy=no lifebytes=0 lifetime=1d mode-config=none my-id=auto nat-traversal=no passive=no \ port=500 proposal-check=claim send-initial-contact=yes local-address=:: add \ address=172.1.205.10/32 \ comment="Office 205" \ secret=123aBc \ auth-method=pre-shared-key enc-algorithm=aes-128 hash-algorithm=md5 dh-group=modp768 disabled=no dpd-interval=30s dpd-maximum-failures=5 \ exchange-mode=main generate-policy=no lifebytes=0 lifetime=1d mode-config=none my-id=auto nat-traversal=no passive=no \ port=500 proposal-check=claim send-initial-contact=yes local-address=:: } /ip ipsec proposal add name=vpn1 auth-algorithms=md5 disabled=no enc-algorithms=aes-128-cbc pfs-group=modp768 lifetime=30m /ip ipsec policy { add \ src-address=192.168.201.0/24 dst-address=192.168.200.0/24 sa-src-address=172.1.201.10 sa-dst-address=172.1.200.10 comment="Office 200" \ disabled=no protocol=all src-port=any dst-port=any action=encrypt ipsec-protocols=esp level=require priority=100 proposal=vpn1 tunnel=yes add \ src-address=192.168.201.0/24 dst-address=192.168.205.0/24 sa-src-address=172.1.201.10 sa-dst-address=172.1.205.10 comment="Office 205" \ disabled=no protocol=all src-port=any dst-port=any action=encrypt ipsec-protocols=esp level=require priority=100 proposal=vpn1 tunnel=yes } Настройки роутера сети "Office 205" (RB850Gx2): /ip address { remove [find] add address=172.1.205.10/24 interface=WAN add address=192.168.205.253/24 interface=LAN } /ip ipsec peer { add \ address=172.1.200.10/32 \ comment="Office 200" \ secret=123aBc \ auth-method=pre-shared-key enc-algorithm=aes-128 hash-algorithm=md5 dh-group=modp768 disabled=no dpd-interval=30s dpd-maximum-failures=5 \ exchange-mode=main generate-policy=no lifebytes=0 lifetime=1d mode-config=none my-id=auto nat-traversal=no passive=no \ port=500 proposal-check=claim send-initial-contact=yes local-address=:: add \ address=172.1.201.10/32 \ comment="Office 201" \ secret=123aBc \ auth-method=pre-shared-key enc-algorithm=aes-128 hash-algorithm=md5 dh-group=modp768 disabled=no dpd-interval=30s dpd-maximum-failures=5 \ exchange-mode=main generate-policy=no lifebytes=0 lifetime=1d mode-config=none my-id=auto nat-traversal=no passive=no \ port=500 proposal-check=claim send-initial-contact=yes local-address=:: } /ip ipsec proposal add name=vpn1 auth-algorithms=md5 disabled=no enc-algorithms=aes-128-cbc pfs-group=modp768 lifetime=30m /ip ipsec policy { add \ src-address=192.168.205.0/24 dst-address=192.168.200.0/24 sa-src-address=172.1.205.10 sa-dst-address=172.1.200.10 comment="Office 200" \ disabled=no protocol=all src-port=any dst-port=any action=encrypt ipsec-protocols=esp level=require priority=100 proposal=vpn1 tunnel=yes add \ src-address=192.168.205.0/24 dst-address=192.168.201.0/24 sa-src-address=172.1.205.10 sa-dst-address=172.1.201.10 comment="Office 201" \ disabled=no protocol=all src-port=any dst-port=any action=encrypt ipsec-protocols=esp level=require priority=100 proposal=vpn1 tunnel=yes } Подскажите пожалуйста в чем проблема и как ее исправить???

Всмысле не чисто "входящий", а транзитный трафик, который генерится из входящего трафика ipsec (после расшифровки). Мне нужно отфильтровать уже расшифрованный трафик.

Надо в файерволе отфильтровать входящий трафик Ipsec. Т.е. надо каким-то образом отличить в цепочке forward трафик из ipsec-туннеля от остального транзитного трафика. Каких-либо признаков, кроме адресов источника и приемника я не обнаружил, поэтому пытаюсь пакеты из ipsec-туннеля пометить, а потом фильтровать по этой метке. Эту идею я взял здесь: http://wiki.mikrotik.com/wiki/IPSEC_between_Mikrotik_router_and_a_Shrew_client#Allow_only_encrypted_traffic http://wiki.mikrotik.com/wiki/File:Packet_Flow_Example_5c.png /ip firewall mangle add chain=prerouting action=mark-packet new-packet-mark=ipsec-tunnel-packet passthrough=no in-interface=WAN protocol=ipsec-esp /ip firewall filter add chain=forward action=accept packet-mark=ipsec-tunnel-packet Но такой способо почему-то не работает. Такое ощущение, что после дешифрации пакета теряется его метка (ipsec-tunnel-packet). Для проверки тогда прописываю такие правила: /ip firewall mangle add action=mark-packet chain=prerouting in-interface=WAN new-packet-mark=ipsec-tunnel-packet passthrough=no protocol=ipsec-esp /ip firewall filter add action=passthrough chain=forward log=yes packet-mark=ipsec-tunnel-packet И получаю: /ip firewall mangle print stats without-paging Flags: X - disabled, I - invalid, D - dynamic # CHAIN ACTION BYTES PACKETS 0 prerouting mark-packet 25 920 216 /ip firewall filter print stats without-paging Flags: X - disabled, I - invalid, D - dynamic # CHAIN ACTION BYTES PACKETS ........ 2 forward passthrough 0 0 ........ Т.е. видно, что через правило таблицы mangle пакеты проходят и счетчик увеличивается, а через правило таблицы filter пакеты не проходят и счетчики этого правила имеет значение ноль. Если я убираю проверку packet-mark, то правило начинает срабатывать: /ip firewall filter add chain=forward action=accept in-interface=WAN dst-address=192.168.1.0/24 192.168.1.0/24 - внутренняя подсеть за роутером Подскажите пожалуйста можно ли как-то исправить маркировку пакетов или может есть какие другие способы отследить трафик Ipsec??

Однако похоже чисто ipsec выгодней, чем ipsec/l2tp - на hex-е ipsec сейчас выдает 40 мбит, а ipsec/l2tp насколько помню выдавал 30 с чем-то. И акселерация ipsec на RB850Gx2 похоже отлично работает. В то время как Hex загружен на 100% (процессы encrypting и networking жрут по 50%), а RB850Gx2 загружен на 30-40% (процесса encrypting почему-то вообще в профайлере не видно (похоже, что так мало жрет процессор), а процесс networking жрет 15-20%)

Подскажите пожалуйста, для чего предназначены эти настройки - /ip ipsec mode-config ???

Спасибо! Буду иметь ввиду, но на данный момент микроты уже закуплены.

Подскажите пожалуйста, а как тогда SSTP выполняет туннелирование?

Спасибо!!! Тогда останавливаюсь на чисто Ipsec (уже разобрался как сделать site-to-multi-site vpn, и на шифровании AES задействуется аппаратная акселерация - я уже проверил на RB850Gx2). К тому же, забавно, но на IPSec оказывается достаточно просто реализуется схема впн - многие-ко-многим.

Спасибо!!! Теперь все понятно!

Не могли бы вы пояснить что значит "шифрование включается на туннеле"??.