Grohotov Опубликовано 26 ноября, 2020 · Жалоба Использую pfsense, как файрвол небольшой корпоративной сети. Точнее два таких файрволла, две сети и опенвпн между ними. Канал куплен 20М/20М Если воткнуться ноутом в маршрутизатор провайдера, то измерение скорости на внешних ресурсах так и показывает. Если подключить этот же ноут к pfsense, то со входящей скоростью все нормально, а исходящая не выше 2М. Ранее, был канал 10М/10М было также. Тоннели отключал, на момент теста, не влияет. Может кто подскажет, где рыть? Или это "фича" pfsense? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 26 ноября, 2020 · Жалоба Убедитесь что flow control отключён на сетевухах и коммутаторе. Посмотрите ALTQ шейперы, вдруг там правила есть. Убедитесь что ваш тестовый трафик идёт не рез опенвпн туннель. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOFTOLAB Опубликовано 26 ноября, 2020 · Жалоба А лучше поставить микротик, тот же HEX. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 27 ноября, 2020 · Жалоба В pfsense есть шейпинг, может когда-то лимит на юзера включили и так с тех пор и остался. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Grohotov Опубликовано 27 ноября, 2020 · Жалоба 1 час назад, jffulcrum сказал: В pfsense есть шейпинг, может когда-то лимит на юзера включили и так с тех пор и остался. Есть и шейпинг, и лимитер. Отключал все во время тестов. Хочу сейчас с нуля поставить пфсенс на другую машину, и проверить, что будет. За выходные сделаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 28 ноября, 2020 · Жалоба @Grohotov Оно у вас железное или виртуальное? Если железное, иногда дело в оффлоадинге в свойствах сетевой карты - pfsense ранее с этими фишками плохо совместима была, прежде всего с TSO/LSO. Смотрите также Troubleshooting — Troubleshooting Low Interface Throughput | pfSense Documentation (netgate.com) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Grohotov Опубликовано 28 ноября, 2020 · Жалоба 12 часов назад, jffulcrum сказал: Оно у вас железное или виртуальное Железное, загружено мало. Отключил весь оффлоадинг, загруженность процессора возросла до 50%, исходящая скорость не выросла. Входящее соединение 13.11 Мбит/с=1.64 МБайт/с Исходящее соединение 865.84 Кбит/с=108.23 КБайт/с Load average 1.42, 1.34, 0.96, CPU usage 51% Memory usage 13% of 991 MiB, Disk usage ( / ) 9% of 31GiB - ufs В 26.11.2020 в 11:38, Ivan_83 сказал: Убедитесь что flow control отключён Убедился. На сетевых интерфейсах, вместо дефолтных значений явно указал, 1000Т, без управления потоком. На коммутаторах в настройках портов, управление потоком проверил, состояние отключенное. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Grohotov Опубликовано 29 ноября, 2020 · Жалоба Полностью собрал на совершенно другом железе, установлена другая версия PFsense. Результат: Попробую сейчас с Микротиком. HEX у меня нет, но есть HAP AC. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Grohotov Опубликовано 29 ноября, 2020 · Жалоба с Микротиком HAP AC Download Mbps 16.51 Upload Mbps 15.46, правда там больше половины не настроено было, я не умею эти микротики готовить, они у меня точками доступа работают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 29 ноября, 2020 · Жалоба Попробуйте ещё scrub out on IF_NAME all random-id min-ttl 128 max-mss 1400 или как то так, смысл в смене mss. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Grohotov Опубликовано 30 ноября, 2020 · Жалоба Все получилось. Всем спасибо. Видимо дело было в длине кадра. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 30 ноября, 2020 · Жалоба Это смена mss помогла или что то другое? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Grohotov Опубликовано 30 ноября, 2020 · Жалоба Да. Да, уменьшение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Grohotov Опубликовано 6 декабря, 2020 · Жалоба В 26.11.2020 в 12:10, SOFTOLAB сказал: А лучше поставить микротик, тот же HEX. в оп посте есть слово "ОпенВПН". а с этим у Микротика плохо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SOFTOLAB Опубликовано 7 декабря, 2020 · Жалоба On 11/30/2020 at 12:22 AM, Grohotov said: с Микротиком HAP AC Download Mbps 16.51 Upload Mbps 15.46, правда там больше половины не настроено было, я не умею эти микротики готовить, они у меня точками доступа работают. Для HAP AC это потолок, нужно брать с аппаратным шифрованием, тот же хекс отличное решение. 22 hours ago, Grohotov said: в оп посте есть слово "ОпенВПН". а с этим у Микротика плохо. В 7 версии уже более менее с ним, у меня используется IPSec/L2TP и OpenVPN, и могу сказать что OpenVPN работает гораздо стабильнее, минусы лишь в низкой скорости, пространстые пользователя, TCP и отсутствие аппаратного шифрования, но если это пофиксят, то IPSec пойдет на свалку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Grohotov Опубликовано 7 декабря, 2020 · Жалоба Т.е. у вас не Site to Site, а для подключения клиентов? Мне Site to Site нужен. Исторически сложилось, что у филиала и головного офиса разные провайдеры. И статический белый ИП только в филиале. В головном офисе белый IP, но динамика. Потому GRE и IPsec затруднены, а для OpenVPN, достаточно только одного статического белого IP. Купить статический IP конечно можно, но есть препятствия. Внутри туннеля в основном SIP между двумя АТС. Была бы нормальная скорость, был бы файлообмен, а так используется дропбокс. OpenVPN в Микротике только ТСР, изменилось ли что нибудь в 7 версии? Еще я не нашел, как на микротике включить OpenVPN со статическими ключами (pre-shared key). Хочу купить еще ubiquiti dreambox на пробу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 8 декабря, 2020 · Жалоба @Grohotov для ipsec достаточно статического адреса с одной стороны (хотя за микротик не уверен) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...