[Grohotov]

Использую pfsense, как файрвол небольшой корпоративной сети. Точнее два таких файрволла, две сети и опенвпн между ними. Канал куплен 20М/20М Если воткнуться ноутом в маршрутизатор провайдера, то измерение скорости на внешних ресурсах так и показывает. Если подключить этот же ноут к pfsense, то со входящей скоростью все нормально, а исходящая не выше 2М. Ранее, был канал 10М/10М было также. Тоннели отключал, на момент теста, не влияет. Может кто подскажет, где рыть? Или это "фича" pfsense?

[Ivan_83]

Убедитесь что flow control отключён на сетевухах и коммутаторе.

Посмотрите ALTQ шейперы, вдруг там правила есть.

Убедитесь что ваш тестовый трафик идёт не рез опенвпн туннель.

[SOFTOLAB]

А лучше поставить микротик, тот же HEX.

[jffulcrum]

В pfsense есть шейпинг, может когда-то лимит на юзера включили и так с тех пор и остался.

[Grohotov]

1 час назад, jffulcrum сказал:

В pfsense есть шейпинг, может когда-то лимит на юзера включили и так с тех пор и остался.

Есть и шейпинг, и лимитер. Отключал все во время тестов. Хочу сейчас с нуля поставить пфсенс на другую машину, и проверить, что будет. За выходные сделаю.

[jffulcrum]

@Grohotov Оно у вас железное или виртуальное? Если железное, иногда дело в оффлоадинге в свойствах сетевой карты - pfsense ранее с этими фишками плохо совместима была, прежде всего с TSO/LSO. Смотрите также Troubleshooting — Troubleshooting Low Interface Throughput | pfSense Documentation (netgate.com)

[Grohotov]

12 часов назад, jffulcrum сказал:

Оно у вас железное или виртуальное

Железное, загружено мало. Отключил весь оффлоадинг, загруженность процессора возросла до 50%, исходящая скорость не выросла.

Входящее соединение  13.11 Мбит/с=1.64 МБайт/с

Исходящее соединение  865.84 Кбит/с=108.23 КБайт/с

Load average 1.42, 1.34, 0.96, CPU usage  51%

Memory usage 13% of 991 MiB, Disk usage ( / )  9% of 31GiB - ufs

 

 

 

В 26.11.2020 в 11:38, Ivan_83 сказал:

Убедитесь что flow control отключён

Убедился. На сетевых интерфейсах, вместо дефолтных значений явно указал, 1000Т, без управления потоком. На коммутаторах в настройках портов, управление потоком проверил, состояние отключенное.

[Grohotov]

Полностью собрал на совершенно другом железе, установлена другая версия PFsense. Результат:

 

Попробую сейчас с Микротиком. HEX у меня нет, но есть HAP AC.

[Grohotov]

с Микротиком HAP AC  Download Mbps 16.51 Upload Mbps 15.46, правда там больше половины не настроено было, я не умею эти микротики готовить, они у меня точками доступа работают.

[Ivan_83]

Попробуйте ещё

scrub out on IF_NAME all random-id min-ttl 128 max-mss 1400

или как то так, смысл в смене mss.

[Grohotov]

Все получилось. Всем спасибо. Видимо дело было в длине кадра.

 

[Ivan_83]

Это смена mss помогла или что то другое?

[Grohotov]

Да.

 

Да, уменьшение.

[Grohotov]

В 26.11.2020 в 12:10, SOFTOLAB сказал:

А лучше поставить микротик, тот же HEX.

в оп посте есть слово "ОпенВПН". а с этим у Микротика плохо.

[SOFTOLAB]

On 11/30/2020 at 12:22 AM, Grohotov said:

с Микротиком HAP AC  Download Mbps 16.51 Upload Mbps 15.46, правда там больше половины не настроено было, я не умею эти микротики готовить, они у меня точками доступа работают.

Для HAP AC это потолок, нужно брать с аппаратным шифрованием, тот же хекс отличное решение.

 

22 hours ago, Grohotov said:

в оп посте есть слово "ОпенВПН". а с этим у Микротика плохо.

В 7 версии уже более менее с ним, у меня используется IPSec/L2TP и OpenVPN, и могу сказать что OpenVPN работает гораздо стабильнее, минусы лишь в низкой скорости, пространстые пользователя, TCP и отсутствие аппаратного шифрования, но если это пофиксят, то IPSec пойдет на свалку.

[Grohotov]

Т.е. у вас не Site to Site, а для подключения клиентов? Мне  Site to Site нужен. Исторически сложилось, что у филиала и головного офиса разные провайдеры. И статический белый ИП только в филиале. В головном офисе белый  IP, но динамика. Потому GRE и IPsec затруднены, а для OpenVPN, достаточно только одного статического белого IP. Купить статический IP конечно можно, но есть препятствия. Внутри туннеля в основном SIP между двумя АТС. Была бы нормальная скорость, был бы файлообмен, а так используется дропбокс. OpenVPN  в Микротике только ТСР, изменилось ли что нибудь в 7 версии? Еще я не нашел, как на микротике включить OpenVPN со статическими ключами (pre-shared key). Хочу купить еще ubiquiti dreambox на пробу.

[vvertexx]

@Grohotov 

для ipsec достаточно статического адреса с одной стороны (хотя за микротик не уверен)