Mike33 Опубликовано 23 декабря, 2015 · Жалоба Есть сеть на основе трех роутеров: 2 шт. RB850Gx2 и 1 шт. hEX. Все настройки роутеров абсолютно идентичны. Везде стоит RouterOS v. 6.33.3. Провожу тест скорости с помощью Iperf. Тест скорости между "Office 201" (hEX) и "Office 200" (RB850Gx2): [140] 11.0-12.0 sec 4.75 MBytes 4.75 MBytes/sec [140] 16.0-17.0 sec 4.75 MBytes 4.75 MBytes/sec [140] 17.0-18.0 sec 5.00 MBytes 5.00 MBytes/sec [140] 18.0-19.0 sec 4.75 MBytes 4.75 MBytes/sec [140] 19.0-20.0 sec 4.75 MBytes 4.75 MBytes/sec [140] 20.0-21.0 sec 4.75 MBytes 4.75 MBytes/sec [140] 26.0-27.0 sec 4.75 MBytes 4.75 MBytes/sec Тест скорости между "Office 201" (hEX) и "Office 205" (RB850Gx2): [140] 33.0-34.0 sec 4.75 MBytes 4.75 MBytes/sec [140] 40.0-41.0 sec 4.75 MBytes 4.75 MBytes/sec [140] 41.0-42.0 sec 4.75 MBytes 4.75 MBytes/sec [140] 42.0-43.0 sec 4.75 MBytes 4.75 MBytes/sec [140] 43.0-44.0 sec 4.88 MBytes 4.88 MBytes/sec [140] 50.0-51.0 sec 4.75 MBytes 4.75 MBytes/sec [140] 51.0-52.0 sec 4.88 MBytes 4.88 MBytes/sec Тест скорости между "Office 200" (RB850Gx2) и "Office 205" (RB850Gx2): [1908] 816.0-817.0 sec 1.00 MBytes 1.00 MBytes/sec [1908] 825.0-826.0 sec 1.38 MBytes 1.38 MBytes/sec [1908] 826.0-827.0 sec 1.13 MBytes 1.13 MBytes/sec [1908] 827.0-828.0 sec 1.13 MBytes 1.13 MBytes/sec [1908] 828.0-829.0 sec 1.38 MBytes 1.38 MBytes/sec [1908] 829.0-830.0 sec 1.13 MBytes 1.13 MBytes/sec [1908] 830.0-831.0 sec 1.38 MBytes 1.38 MBytes/sec [1908] 836.0-837.0 sec 1.25 MBytes 1.25 MBytes/sec Настройки роутера сети "Office 200" (RB850Gx2): /ip address { remove [find] add address=172.1.200.10/24 interface=WAN add address=192.168.200.253/24 interface=LAN } /ip ipsec peer { add \ address=172.1.201.10/32 \ comment="Office 201" \ secret=123aBc \ auth-method=pre-shared-key enc-algorithm=aes-128 hash-algorithm=md5 dh-group=modp768 disabled=no dpd-interval=30s dpd-maximum-failures=5 \ exchange-mode=main generate-policy=no lifebytes=0 lifetime=1d mode-config=none my-id=auto nat-traversal=no passive=no \ port=500 proposal-check=claim send-initial-contact=yes local-address=:: add \ address=172.1.205.10/32 \ comment="Office 205" \ secret=123aBc \ auth-method=pre-shared-key enc-algorithm=aes-128 hash-algorithm=md5 dh-group=modp768 disabled=no dpd-interval=30s dpd-maximum-failures=5 \ exchange-mode=main generate-policy=no lifebytes=0 lifetime=1d mode-config=none my-id=auto nat-traversal=no passive=no \ port=500 proposal-check=claim send-initial-contact=yes local-address=:: } /ip ipsec proposal add name=vpn1 auth-algorithms=md5 disabled=no enc-algorithms=aes-128-cbc pfs-group=modp768 lifetime=30m /ip ipsec policy { add \ src-address=192.168.200.0/24 dst-address=192.168.201.0/24 sa-src-address=172.1.200.10 sa-dst-address=172.1.201.10 comment="Office 201" \ disabled=no protocol=all src-port=any dst-port=any action=encrypt ipsec-protocols=esp level=require priority=100 proposal=vpn1 tunnel=yes add \ src-address=192.168.200.0/24 dst-address=192.168.205.0/24 sa-src-address=172.1.200.10 sa-dst-address=172.1.205.10 comment="Office 205" \ disabled=no protocol=all src-port=any dst-port=any action=encrypt ipsec-protocols=esp level=require priority=100 proposal=vpn1 tunnel=yes add \ } Настройки роутера сети "Office 201" (hEX): /ip address { remove [find] add address=172.1.201.10/24 interface=WAN add address=192.168.201.253/24 interface=LAN } /ip ipsec peer { add \ address=172.1.200.10/32 \ comment="Office 200" \ secret=123aBc \ auth-method=pre-shared-key enc-algorithm=aes-128 hash-algorithm=md5 dh-group=modp768 disabled=no dpd-interval=30s dpd-maximum-failures=5 \ exchange-mode=main generate-policy=no lifebytes=0 lifetime=1d mode-config=none my-id=auto nat-traversal=no passive=no \ port=500 proposal-check=claim send-initial-contact=yes local-address=:: add \ address=172.1.205.10/32 \ comment="Office 205" \ secret=123aBc \ auth-method=pre-shared-key enc-algorithm=aes-128 hash-algorithm=md5 dh-group=modp768 disabled=no dpd-interval=30s dpd-maximum-failures=5 \ exchange-mode=main generate-policy=no lifebytes=0 lifetime=1d mode-config=none my-id=auto nat-traversal=no passive=no \ port=500 proposal-check=claim send-initial-contact=yes local-address=:: } /ip ipsec proposal add name=vpn1 auth-algorithms=md5 disabled=no enc-algorithms=aes-128-cbc pfs-group=modp768 lifetime=30m /ip ipsec policy { add \ src-address=192.168.201.0/24 dst-address=192.168.200.0/24 sa-src-address=172.1.201.10 sa-dst-address=172.1.200.10 comment="Office 200" \ disabled=no protocol=all src-port=any dst-port=any action=encrypt ipsec-protocols=esp level=require priority=100 proposal=vpn1 tunnel=yes add \ src-address=192.168.201.0/24 dst-address=192.168.205.0/24 sa-src-address=172.1.201.10 sa-dst-address=172.1.205.10 comment="Office 205" \ disabled=no protocol=all src-port=any dst-port=any action=encrypt ipsec-protocols=esp level=require priority=100 proposal=vpn1 tunnel=yes } Настройки роутера сети "Office 205" (RB850Gx2): /ip address { remove [find] add address=172.1.205.10/24 interface=WAN add address=192.168.205.253/24 interface=LAN } /ip ipsec peer { add \ address=172.1.200.10/32 \ comment="Office 200" \ secret=123aBc \ auth-method=pre-shared-key enc-algorithm=aes-128 hash-algorithm=md5 dh-group=modp768 disabled=no dpd-interval=30s dpd-maximum-failures=5 \ exchange-mode=main generate-policy=no lifebytes=0 lifetime=1d mode-config=none my-id=auto nat-traversal=no passive=no \ port=500 proposal-check=claim send-initial-contact=yes local-address=:: add \ address=172.1.201.10/32 \ comment="Office 201" \ secret=123aBc \ auth-method=pre-shared-key enc-algorithm=aes-128 hash-algorithm=md5 dh-group=modp768 disabled=no dpd-interval=30s dpd-maximum-failures=5 \ exchange-mode=main generate-policy=no lifebytes=0 lifetime=1d mode-config=none my-id=auto nat-traversal=no passive=no \ port=500 proposal-check=claim send-initial-contact=yes local-address=:: } /ip ipsec proposal add name=vpn1 auth-algorithms=md5 disabled=no enc-algorithms=aes-128-cbc pfs-group=modp768 lifetime=30m /ip ipsec policy { add \ src-address=192.168.205.0/24 dst-address=192.168.200.0/24 sa-src-address=172.1.205.10 sa-dst-address=172.1.200.10 comment="Office 200" \ disabled=no protocol=all src-port=any dst-port=any action=encrypt ipsec-protocols=esp level=require priority=100 proposal=vpn1 tunnel=yes add \ src-address=192.168.205.0/24 dst-address=192.168.201.0/24 sa-src-address=172.1.205.10 sa-dst-address=172.1.201.10 comment="Office 201" \ disabled=no protocol=all src-port=any dst-port=any action=encrypt ipsec-protocols=esp level=require priority=100 proposal=vpn1 tunnel=yes } Подскажите пожалуйста в чем проблема и как ее исправить??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mike33 Опубликовано 23 декабря, 2015 · Жалоба Похоже какая-то хрень с акселерацией aes в RB850Gx2. Переключил на шифр blowfish и скорость стала нормальной. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mike33 Опубликовано 23 декабря, 2015 · Жалоба Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 23 декабря, 2015 · Жалоба Only AES-xxx-CBC is supported by hardware encryption если Вам от этого станет легче... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Artur-t Опубликовано 23 декабря, 2015 · Жалоба The RB850Gx2 devices are now shipped with a CPU that features Hardware Encryption Acceleration (serial numbers that start with “5”). Combined with up to date RouterOS version (6.28 or above), you will now be able to reach 500Mbps with AES128 encryption on this device. Что бы стало еще легче :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mike33 Опубликовано 23 декабря, 2015 · Жалоба Так у меня как раз и включено "... enc-algorithms=aes-128-cbc ..". При этом нагрузка на проц действительно минимальна. Но скорость между двумя RB850Gx2 вообще никакая. Переключаю шифр на какой-либо другой - скорость нормальная и нагрузка на проц вырастает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 23 декабря, 2015 · Жалоба Используйте L2TP или SSTP на худой конец, если шифрование нужно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 23 декабря, 2015 · Жалоба попробуйте 6.28. У Латышей прошивка - это лотерея. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Artur-t Опубликовано 23 декабря, 2015 (изменено) · Жалоба А вы по tcp тестили? Если да, попробуйте еще раз протестить с mss 1400 ради интереса. Изменено 23 декабря, 2015 пользователем Artur-t Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mike33 Опубликовано 24 декабря, 2015 · Жалоба А вы по tcp тестили? Если да, попробуйте еще раз протестить с mss 1400 ради интереса. mss я правлю в mangle на 1410. поверял сниффером - работает. /ip firewall mangle add action=change-mss chain=forward ipsec-policy=out,ipsec new-mss=1410 protocol=tcp tcp-flags=syn tcp-mss=!0-1410 ведь ситуация полностью меняется в зависимости от исполнения данных команд: /ip ipsec proposal set [find] enc-algorithms=aes-128-cbc или /ip ipsec proposal set [find] enc-algorithms=blowfish Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mike33 Опубликовано 19 апреля, 2016 · Жалоба Доброго вечера! Никто не в курсе, подвижки по этому вопросу какие есть?? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dima_dak Опубликовано 5 июля, 2016 · Жалоба Добрый день, поставьте hash-algorithm=md5 вместо md5 sha1 скорость увеличится до 40 мбит. это предел для aes128 аппаратного. Хотя и обещали до 500 мбит, но что я только не делал 40 мбит и все. если использовать blowfish то у меня прокачивает до 70мбит при 70% загрузке проца, при aes128 40 мбит но с 15% загрузки проца, т.е. ускорение работает, но что-то мешает ему разогнаться. Если у вас получится больше, просьба написать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...