Jump to content
Калькуляторы

Низкая скорость обмена по Ipsec-туннелю между двумя RB850Gx2

Reply to this topic

Mike33   

Mike33
Posted

Есть сеть на основе трех роутеров: 2 шт. RB850Gx2 и 1 шт. hEX.

 

Все настройки роутеров абсолютно идентичны.

Везде стоит RouterOS v. 6.33.3.

 

Провожу тест скорости с помощью Iperf.

 

Тест скорости между "Office 201" (hEX) и "Office 200" (RB850Gx2):

[140] 11.0-12.0 sec  4.75 MBytes  4.75 MBytes/sec
[140] 16.0-17.0 sec  4.75 MBytes  4.75 MBytes/sec
[140] 17.0-18.0 sec  5.00 MBytes  5.00 MBytes/sec
[140] 18.0-19.0 sec  4.75 MBytes  4.75 MBytes/sec
[140] 19.0-20.0 sec  4.75 MBytes  4.75 MBytes/sec
[140] 20.0-21.0 sec  4.75 MBytes  4.75 MBytes/sec
[140] 26.0-27.0 sec  4.75 MBytes  4.75 MBytes/sec

 

Тест скорости между "Office 201" (hEX) и "Office 205" (RB850Gx2):

[140] 33.0-34.0 sec  4.75 MBytes  4.75 MBytes/sec
[140] 40.0-41.0 sec  4.75 MBytes  4.75 MBytes/sec
[140] 41.0-42.0 sec  4.75 MBytes  4.75 MBytes/sec
[140] 42.0-43.0 sec  4.75 MBytes  4.75 MBytes/sec
[140] 43.0-44.0 sec  4.88 MBytes  4.88 MBytes/sec
[140] 50.0-51.0 sec  4.75 MBytes  4.75 MBytes/sec
[140] 51.0-52.0 sec  4.88 MBytes  4.88 MBytes/sec

 

 

 

Тест скорости между "Office 200" (RB850Gx2) и "Office 205" (RB850Gx2):

[1908] 816.0-817.0 sec  1.00 MBytes  1.00 MBytes/sec
[1908] 825.0-826.0 sec  1.38 MBytes  1.38 MBytes/sec
[1908] 826.0-827.0 sec  1.13 MBytes  1.13 MBytes/sec
[1908] 827.0-828.0 sec  1.13 MBytes  1.13 MBytes/sec
[1908] 828.0-829.0 sec  1.38 MBytes  1.38 MBytes/sec
[1908] 829.0-830.0 sec  1.13 MBytes  1.13 MBytes/sec
[1908] 830.0-831.0 sec  1.38 MBytes  1.38 MBytes/sec
[1908] 836.0-837.0 sec  1.25 MBytes  1.25 MBytes/sec

 

 

 

Настройки роутера сети "Office 200" (RB850Gx2):

/ip address {
   remove [find]
   add address=172.1.200.10/24 interface=WAN
   add address=192.168.200.253/24 interface=LAN
}

/ip ipsec peer {

   add \
   address=172.1.201.10/32 \
   comment="Office 201" \
   secret=123aBc \
   auth-method=pre-shared-key enc-algorithm=aes-128 hash-algorithm=md5 dh-group=modp768 disabled=no dpd-interval=30s dpd-maximum-failures=5 \
   exchange-mode=main generate-policy=no lifebytes=0 lifetime=1d mode-config=none my-id=auto nat-traversal=no passive=no \
   port=500 proposal-check=claim send-initial-contact=yes local-address=::

   add \
   address=172.1.205.10/32 \
   comment="Office 205" \
   secret=123aBc \
   auth-method=pre-shared-key enc-algorithm=aes-128 hash-algorithm=md5 dh-group=modp768 disabled=no dpd-interval=30s dpd-maximum-failures=5 \
   exchange-mode=main generate-policy=no lifebytes=0 lifetime=1d mode-config=none my-id=auto nat-traversal=no passive=no \
   port=500 proposal-check=claim send-initial-contact=yes local-address=::

}

/ip ipsec proposal add name=vpn1 auth-algorithms=md5 disabled=no enc-algorithms=aes-128-cbc pfs-group=modp768 lifetime=30m


/ip ipsec policy {

   add \
   src-address=192.168.200.0/24 dst-address=192.168.201.0/24 sa-src-address=172.1.200.10 sa-dst-address=172.1.201.10 comment="Office 201" \
   disabled=no protocol=all src-port=any dst-port=any action=encrypt ipsec-protocols=esp level=require priority=100 proposal=vpn1 tunnel=yes

   add \
   src-address=192.168.200.0/24 dst-address=192.168.205.0/24 sa-src-address=172.1.200.10 sa-dst-address=172.1.205.10 comment="Office 205" \
   disabled=no protocol=all src-port=any dst-port=any action=encrypt ipsec-protocols=esp level=require priority=100 proposal=vpn1 tunnel=yes
   add \
}

 

 

 

 

Настройки роутера сети "Office 201" (hEX):

/ip address {
   remove [find]
   add address=172.1.201.10/24 interface=WAN
   add address=192.168.201.253/24 interface=LAN
}

/ip ipsec peer {
   add \
   address=172.1.200.10/32 \
   comment="Office 200" \
   secret=123aBc \
   auth-method=pre-shared-key enc-algorithm=aes-128 hash-algorithm=md5 dh-group=modp768 disabled=no dpd-interval=30s dpd-maximum-failures=5 \
   exchange-mode=main generate-policy=no lifebytes=0 lifetime=1d mode-config=none my-id=auto nat-traversal=no passive=no \
   port=500 proposal-check=claim send-initial-contact=yes local-address=::

   add \
   address=172.1.205.10/32 \
   comment="Office 205" \
   secret=123aBc \
   auth-method=pre-shared-key enc-algorithm=aes-128 hash-algorithm=md5 dh-group=modp768 disabled=no dpd-interval=30s dpd-maximum-failures=5 \
   exchange-mode=main generate-policy=no lifebytes=0 lifetime=1d mode-config=none my-id=auto nat-traversal=no passive=no \
   port=500 proposal-check=claim send-initial-contact=yes local-address=::
}

/ip ipsec proposal add name=vpn1 auth-algorithms=md5 disabled=no enc-algorithms=aes-128-cbc pfs-group=modp768 lifetime=30m

/ip ipsec policy {

   add \
   src-address=192.168.201.0/24 dst-address=192.168.200.0/24 sa-src-address=172.1.201.10 sa-dst-address=172.1.200.10 comment="Office 200" \
   disabled=no protocol=all src-port=any dst-port=any action=encrypt ipsec-protocols=esp level=require priority=100 proposal=vpn1 tunnel=yes

   add \
   src-address=192.168.201.0/24 dst-address=192.168.205.0/24 sa-src-address=172.1.201.10 sa-dst-address=172.1.205.10 comment="Office 205" \
   disabled=no protocol=all src-port=any dst-port=any action=encrypt ipsec-protocols=esp level=require priority=100 proposal=vpn1 tunnel=yes
}

 

 

 

Настройки роутера сети "Office 205" (RB850Gx2):

/ip address {
   remove [find]
   add address=172.1.205.10/24 interface=WAN
   add address=192.168.205.253/24 interface=LAN
}

/ip ipsec peer {

   add \
   address=172.1.200.10/32 \
   comment="Office 200" \
   secret=123aBc \
   auth-method=pre-shared-key enc-algorithm=aes-128 hash-algorithm=md5 dh-group=modp768 disabled=no dpd-interval=30s dpd-maximum-failures=5 \
   exchange-mode=main generate-policy=no lifebytes=0 lifetime=1d mode-config=none my-id=auto nat-traversal=no passive=no \
   port=500 proposal-check=claim send-initial-contact=yes local-address=::

   add \
   address=172.1.201.10/32 \
   comment="Office 201" \
   secret=123aBc \
   auth-method=pre-shared-key enc-algorithm=aes-128 hash-algorithm=md5 dh-group=modp768 disabled=no dpd-interval=30s dpd-maximum-failures=5 \
   exchange-mode=main generate-policy=no lifebytes=0 lifetime=1d mode-config=none my-id=auto nat-traversal=no passive=no \
   port=500 proposal-check=claim send-initial-contact=yes local-address=::

}

/ip ipsec proposal add name=vpn1 auth-algorithms=md5 disabled=no enc-algorithms=aes-128-cbc pfs-group=modp768 lifetime=30m


/ip ipsec policy {
   add \
   src-address=192.168.205.0/24 dst-address=192.168.200.0/24 sa-src-address=172.1.205.10 sa-dst-address=172.1.200.10 comment="Office 200" \
   disabled=no protocol=all src-port=any dst-port=any action=encrypt ipsec-protocols=esp level=require priority=100 proposal=vpn1 tunnel=yes

   add \
   src-address=192.168.205.0/24 dst-address=192.168.201.0/24 sa-src-address=172.1.205.10 sa-dst-address=172.1.201.10 comment="Office 201" \
   disabled=no protocol=all src-port=any dst-port=any action=encrypt ipsec-protocols=esp level=require priority=100 proposal=vpn1 tunnel=yes

}

 

Подскажите пожалуйста в чем проблема и как ее исправить???

Share this post

Link to post
Share on other sites

Artur-t   

Artur-t
Posted

The RB850Gx2 devices are now shipped with a CPU that features Hardware Encryption Acceleration (serial numbers that

start with “5”). Combined with up to date RouterOS version (6.28 or above), you will now be able to reach 500Mbps with

AES128 encryption on this device.

 

Что бы стало еще легче :)

Share this post

Link to post
Share on other sites

Mike33   

Mike33
Posted

Так у меня как раз и включено "... enc-algorithms=aes-128-cbc ..".

При этом нагрузка на проц действительно минимальна. Но скорость между двумя RB850Gx2 вообще никакая.

Переключаю шифр на какой-либо другой - скорость нормальная и нагрузка на проц вырастает.

Share this post

Link to post
Share on other sites

Mike33   

Mike33
Posted

А вы по tcp тестили?

Если да, попробуйте еще раз протестить с mss 1400 ради интереса.

mss я правлю в mangle на 1410. поверял сниффером - работает.

/ip firewall mangle
add action=change-mss chain=forward ipsec-policy=out,ipsec new-mss=1410 protocol=tcp tcp-flags=syn tcp-mss=!0-1410

 

ведь ситуация полностью меняется в зависимости от исполнения данных команд:

/ip ipsec proposal set [find] enc-algorithms=aes-128-cbc
или
/ip ipsec proposal set [find] enc-algorithms=blowfish

Share this post

Link to post
Share on other sites

dima_dak   

dima_dak
Posted

Добрый день, поставьте hash-algorithm=md5 вместо md5 sha1 скорость увеличится до 40 мбит. это предел для aes128 аппаратного. Хотя и обещали до 500 мбит, но что я только не делал 40 мбит и все. если использовать blowfish то у меня прокачивает до 70мбит при 70% загрузке проца, при aes128 40 мбит но с 15% загрузки проца, т.е. ускорение работает, но что-то мешает ему разогнаться.

Если у вас получится больше, просьба написать.

Share this post

Link to post
Share on other sites

p985850   

p985850
Posted

Тоже проверял IPSEC на микротик RB750gr3 скорость vpn при настройках md5 + des скорость не поднимаеться выше чем - 

 

Отправка = 3,3 прием 2.1 мб.

 

С обратной стороны стоит juniper srx240h1 

 

с его стороны в сторону микротика 

 

Отправка = 2,5 прием 3,6

 

Не понимаю что со скоростью, для juniper вообще заявлено 250 мбит vpn . 

 

Пробовал ставить mtu TCP MSS = 1300 разница разница при регулировки mtu что по интерфейсу что в мангале +/- 0,2-0,3 мб.

 

 

ЕСЛИ ЕСТЬ СПЕЦИАЛИСТЫ ДАЙТЕ СОВЕТ - А ТО ЧЕТА С ТАКОЙ СКОРОСТЬЮ ДОЛЕКО НЕ УЕХАТЬ.

 

 

Share this post

Link to post
Share on other sites

naves   

naves
Posted (edited)

Версия прошивки хоть какая?

Для 7 версии нужно явно выключать fast-forward для ipsec-трафика

занятно, что об этом не пишет, Великий Повелитель Всея Микротиков Сааб, видимо устаревшая технология.

Edited by naves

Share this post

Link to post
Share on other sites

fractal   

fractal
Posted
4 часа назад, Saab95 сказал:

IPSEC - устаревшая технология.

Да что Вы) если микротик этого не умеет адекватно то это не значит что технология устаревшая) почему же я не сталкиваюсь с таким ни на Cisco, ни на хуавей, ни на элтекс даже? 

Share this post

Link to post
Share on other sites

Saab95   

Saab95
Posted
21 час назад, fractal сказал:

Да что Вы) если микротик этого не умеет адекватно то это не значит что технология устаревшая) почему же я не сталкиваюсь с таким ни на Cisco, ни на хуавей, ни на элтекс даже? 

Сначала задайте себе вопрос зачем нужно это шифрование? Все программы, весь софт, самостоятельно все шифрует и дополнительно шифровать не требуется, только ресурсы тратить на оборудовании и создавать разного рода проблемы.

Share this post

Link to post
Share on other sites

fractal   

fractal
Posted
2 часа назад, Saab95 сказал:

Сначала задайте себе вопрос зачем нужно это шифрование? Все программы, весь софт, самостоятельно все шифрует и дополнительно шифровать не требуется, только ресурсы тратить на оборудовании и создавать разного рода проблемы.

Вы настолько глубоко заблуждаетесь, в корпоративном секторе всегда все шифруется, а на вопрос зачем наверное Вам стоит подумать самому (Банки не в счёт, там регулятор есть и есть априори шифрование) 

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Mikrotik Wireless