Grohotov Posted November 26, 2020 Posted November 26, 2020 Использую pfsense, как файрвол небольшой корпоративной сети. Точнее два таких файрволла, две сети и опенвпн между ними. Канал куплен 20М/20М Если воткнуться ноутом в маршрутизатор провайдера, то измерение скорости на внешних ресурсах так и показывает. Если подключить этот же ноут к pfsense, то со входящей скоростью все нормально, а исходящая не выше 2М. Ранее, был канал 10М/10М было также. Тоннели отключал, на момент теста, не влияет. Может кто подскажет, где рыть? Или это "фича" pfsense? Вставить ник Quote
Ivan_83 Posted November 26, 2020 Posted November 26, 2020 Убедитесь что flow control отключён на сетевухах и коммутаторе. Посмотрите ALTQ шейперы, вдруг там правила есть. Убедитесь что ваш тестовый трафик идёт не рез опенвпн туннель. Вставить ник Quote
SOFTOLAB Posted November 26, 2020 Posted November 26, 2020 А лучше поставить микротик, тот же HEX. Вставить ник Quote
jffulcrum Posted November 27, 2020 Posted November 27, 2020 В pfsense есть шейпинг, может когда-то лимит на юзера включили и так с тех пор и остался. Вставить ник Quote
Grohotov Posted November 27, 2020 Author Posted November 27, 2020 1 час назад, jffulcrum сказал: В pfsense есть шейпинг, может когда-то лимит на юзера включили и так с тех пор и остался. Есть и шейпинг, и лимитер. Отключал все во время тестов. Хочу сейчас с нуля поставить пфсенс на другую машину, и проверить, что будет. За выходные сделаю. Вставить ник Quote
jffulcrum Posted November 28, 2020 Posted November 28, 2020 @Grohotov Оно у вас железное или виртуальное? Если железное, иногда дело в оффлоадинге в свойствах сетевой карты - pfsense ранее с этими фишками плохо совместима была, прежде всего с TSO/LSO. Смотрите также Troubleshooting — Troubleshooting Low Interface Throughput | pfSense Documentation (netgate.com) Вставить ник Quote
Grohotov Posted November 28, 2020 Author Posted November 28, 2020 12 часов назад, jffulcrum сказал: Оно у вас железное или виртуальное Железное, загружено мало. Отключил весь оффлоадинг, загруженность процессора возросла до 50%, исходящая скорость не выросла. Входящее соединение 13.11 Мбит/с=1.64 МБайт/с Исходящее соединение 865.84 Кбит/с=108.23 КБайт/с Load average 1.42, 1.34, 0.96, CPU usage 51% Memory usage 13% of 991 MiB, Disk usage ( / ) 9% of 31GiB - ufs В 26.11.2020 в 11:38, Ivan_83 сказал: Убедитесь что flow control отключён Убедился. На сетевых интерфейсах, вместо дефолтных значений явно указал, 1000Т, без управления потоком. На коммутаторах в настройках портов, управление потоком проверил, состояние отключенное. Вставить ник Quote
Grohotov Posted November 29, 2020 Author Posted November 29, 2020 Полностью собрал на совершенно другом железе, установлена другая версия PFsense. Результат: Попробую сейчас с Микротиком. HEX у меня нет, но есть HAP AC. Вставить ник Quote
Grohotov Posted November 29, 2020 Author Posted November 29, 2020 с Микротиком HAP AC Download Mbps 16.51 Upload Mbps 15.46, правда там больше половины не настроено было, я не умею эти микротики готовить, они у меня точками доступа работают. Вставить ник Quote
Ivan_83 Posted November 29, 2020 Posted November 29, 2020 Попробуйте ещё scrub out on IF_NAME all random-id min-ttl 128 max-mss 1400 или как то так, смысл в смене mss. Вставить ник Quote
Grohotov Posted November 30, 2020 Author Posted November 30, 2020 Все получилось. Всем спасибо. Видимо дело было в длине кадра. Вставить ник Quote
Ivan_83 Posted November 30, 2020 Posted November 30, 2020 Это смена mss помогла или что то другое? Вставить ник Quote
Grohotov Posted November 30, 2020 Author Posted November 30, 2020 Да. Да, уменьшение. Вставить ник Quote
Grohotov Posted December 6, 2020 Author Posted December 6, 2020 В 26.11.2020 в 12:10, SOFTOLAB сказал: А лучше поставить микротик, тот же HEX. в оп посте есть слово "ОпенВПН". а с этим у Микротика плохо. Вставить ник Quote
SOFTOLAB Posted December 7, 2020 Posted December 7, 2020 On 11/30/2020 at 12:22 AM, Grohotov said: с Микротиком HAP AC Download Mbps 16.51 Upload Mbps 15.46, правда там больше половины не настроено было, я не умею эти микротики готовить, они у меня точками доступа работают. Для HAP AC это потолок, нужно брать с аппаратным шифрованием, тот же хекс отличное решение. 22 hours ago, Grohotov said: в оп посте есть слово "ОпенВПН". а с этим у Микротика плохо. В 7 версии уже более менее с ним, у меня используется IPSec/L2TP и OpenVPN, и могу сказать что OpenVPN работает гораздо стабильнее, минусы лишь в низкой скорости, пространстые пользователя, TCP и отсутствие аппаратного шифрования, но если это пофиксят, то IPSec пойдет на свалку. Вставить ник Quote
Grohotov Posted December 7, 2020 Author Posted December 7, 2020 Т.е. у вас не Site to Site, а для подключения клиентов? Мне Site to Site нужен. Исторически сложилось, что у филиала и головного офиса разные провайдеры. И статический белый ИП только в филиале. В головном офисе белый IP, но динамика. Потому GRE и IPsec затруднены, а для OpenVPN, достаточно только одного статического белого IP. Купить статический IP конечно можно, но есть препятствия. Внутри туннеля в основном SIP между двумя АТС. Была бы нормальная скорость, был бы файлообмен, а так используется дропбокс. OpenVPN в Микротике только ТСР, изменилось ли что нибудь в 7 версии? Еще я не нашел, как на микротике включить OpenVPN со статическими ключами (pre-shared key). Хочу купить еще ubiquiti dreambox на пробу. Вставить ник Quote
vvertexx Posted December 8, 2020 Posted December 8, 2020 @Grohotov для ipsec достаточно статического адреса с одной стороны (хотя за микротик не уверен) Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.