faq обучение настройка
Текущее время: Пт сен 20, 2019 07:13

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 18 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Низкая скорость VPN ipsec site to site
СообщениеДобавлено: Пт янв 27, 2017 13:58 
Не в сети

Зарегистрирован: Пт янв 27, 2017 13:48
Сообщений: 7
Доброго времени суток! Подскажите в чем может быть проблема. Ситуация следующая: в пределах одного города от одного оператора два подключения по 100Мбит/с со статич. ip. После настройки ipsec сети друг друга видят, все хорошо но скорость копирования файлов 1,5Мбайт/с. Шифрование менял, не помогло. оборудование: dfl210, dfl800
Заранее благодарен!


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: VPN ipsec site to site низкая скорость
СообщениеДобавлено: Пт янв 27, 2017 14:21 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 8903
Откуда: Москва
MTU в туннеле 2000 вычислено империческим путем

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: VPN ipsec site to site низкая скорость
СообщениеДобавлено: Пт янв 27, 2017 14:22 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7173
Откуда: Екатеринбург
У DFL-210 заявленная скорость VPN 25 МБит/с.
Я на стенде получал 17 МБит/с. Т.е. около 2 МБайт/c.
Так что вряд-ли вы сможете сильно улучшить скорость.

Но для IPsec надо сделать MTU=2000 с обоих концов туннеля. Это улучшит стабильность, и, может быть, немного скорость.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Последний раз редактировалось YuriAM Пт янв 27, 2017 14:51, всего редактировалось 2 раз(а).

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: VPN ipsec site to site низкая скорость
СообщениеДобавлено: Пт янв 27, 2017 14:22 
Не в сети

Зарегистрирован: Пт янв 27, 2017 13:48
Сообщений: 7
Vladimir22 писал(а):
MTU в туннеле 2000 вычислено империческим путем


MTU 1420


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: VPN ipsec site to site низкая скорость
СообщениеДобавлено: Пт янв 27, 2017 14:23 
Не в сети

Зарегистрирован: Пт янв 27, 2017 13:48
Сообщений: 7
YuriAM писал(а):
У DFL-210 заявленная скорость IPsec 25 МБит/с.

Я на стенде получал 17 МБит/с. Т.е. около 2 МБайт/c.

Так что вряд-ли вы сможете сильно улучшить скорость.

Но для IPsec надо сделать MTU=2000 с обоих концов туннеля. Это улучшит стабильность, и, может быть, немного скорость.


Попробую, отпишусь.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: VPN ipsec site to site низкая скорость
СообщениеДобавлено: Пт янв 27, 2017 14:29 
Не в сети

Зарегистрирован: Пт янв 27, 2017 13:48
Сообщений: 7
panacea писал(а):
YuriAM писал(а):
У DFL-210 заявленная скорость IPsec 25 МБит/с.

Я на стенде получал 17 МБит/с. Т.е. около 2 МБайт/c.

Так что вряд-ли вы сможете сильно улучшить скорость.

Но для IPsec надо сделать MTU=2000 с обоих концов туннеля. Это улучшит стабильность, и, может быть, немного скорость.


Попробую, отпишусь.


Без изменений.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Низкая скорость VPN ipsec site to site
СообщениеДобавлено: Пт янв 27, 2017 14:50 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7173
Откуда: Екатеринбург
Тут меняли?

Interfaces - IPsec - <Name> - Routing - Plaintext MTU: = 2000

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Низкая скорость VPN ipsec site to site
СообщениеДобавлено: Пт янв 27, 2017 15:57 
Не в сети

Зарегистрирован: Пт янв 27, 2017 13:48
Сообщений: 7
YuriAM писал(а):
Тут меняли?

Interfaces - IPsec - <Name> - Routing - Plaintext MTU: = 2000


да


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Низкая скорость VPN ipsec site to site
СообщениеДобавлено: Пт янв 27, 2017 16:39 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8513
Откуда: Москва
Какова загрузка процессора на DFL-210 под нагрузкой, когда в тоннеле файло льется?
Если стабильно 95-98%, то ничего уже не сделаете.
Поможет только замена на DFL-260E (но его тоже уже сняли с подаж. Тогда на микрот средненький)

Попробуйте снизить шифрование и первой и второй фазы, оставив галки только на DES/MD5.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Последний раз редактировалось MTRX Пт янв 27, 2017 16:52, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Низкая скорость VPN ipsec site to site
СообщениеДобавлено: Пт янв 27, 2017 16:50 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8513
Откуда: Москва
Да, и почему у вас тоннель ipsec site-to-site?
Мы не знаем подробностей конфигурации вашей сети, но наверное правильнее сделать net-to-net.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Низкая скорость VPN ipsec site to site
СообщениеДобавлено: Пт янв 27, 2017 17:48 
Не в сети

Зарегистрирован: Пт янв 27, 2017 13:48
Сообщений: 7
MTRX писал(а):
Какова загрузка процессора на DFL-210 под нагрузкой, когда в тоннеле файло льется?
Если стабильно 95-98%, то ничего уже не сделаете.
Поможет только замена на DFL-260E (но его тоже уже сняли с подаж. Тогда на микрот средненький)

Попробуйте снизить шифрование и первой и второй фазы, оставив галки только на DES/MD5.


Проверил, нагрузка: dfl-210 99% dfl-800 80-85%
Сменил на DES/MD5 dfl-210 85% dfl-800 60-70%

Подскажите, что означает этот параметр Dynamically add route to the remote network when a tunnel is established ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Низкая скорость VPN ipsec site to site
СообщениеДобавлено: Пт янв 27, 2017 19:21 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8513
Откуда: Москва
Дословный перевод при помощи Яндекс- переводчика даст Вам вполне доступный ответ на Ваш вопрос.

Но ставить там галку в Вашем случае "...два подключения по 100Мбит/с со статич. ip..." - не надо.

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Низкая скорость VPN ipsec site to site
СообщениеДобавлено: Сб янв 28, 2017 08:07 
Не в сети

Зарегистрирован: Пт апр 04, 2014 10:52
Сообщений: 133
MTRX писал(а):
Да, и почему у вас тоннель ipsec site-to-site?
Мы не знаем подробностей конфигурации вашей сети, но наверное правильнее сделать net-to-net.

а в чем отличие site-to-site от net-to-net? :shock:
всегда думал что это одно и тоже


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Низкая скорость VPN ipsec site to site
СообщениеДобавлено: Сб янв 28, 2017 10:25 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8513
Откуда: Москва
В DFL'ке есть per host и per net.

Site к чему относится?

_________________
С уважением, Matrox.
CheckPoint, FortiGate, ZyWALL, DFL, HP, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Низкая скорость VPN ipsec site to site
СообщениеДобавлено: Вс янв 29, 2017 17:47 
Не в сети

Зарегистрирован: Пт апр 04, 2014 10:52
Сообщений: 133
MTRX писал(а):
В DFL'ке есть per host и per net.
Site к чему относится?

а ещё там есть per port

да, так к чему относится сайт ?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 18 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 5


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB