Стоит DFL-800, на ней поднято 8 IpSec тунелей до удалёных офисов. Проблема в следующем. Теряется до 25% пакетов на тунелях. Причем ночью, когда пользователи не работают - потери пакетов пропадают. Сами тунели за исключением одного, ОЧЕНЬ малонагруженые, буквально 20-50 килобит. Только один тунель даёт повышенную нагрузку - примерно 6-8 мегабит. Сеть небольшая ~60 пользователей.
В чём может быть проблема и как её отловить?

Нет вариантов?

8 мегабит - вы измеряете по интернету или трафику внутри IPsec? В скорость канала у вас не упирается?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

расскажите про физику, где что стоит ?
скорее всего надо смотреть MTU

_________________
все оказывается проще чем мы думаем

Трафик внутри IpSec. Смотрю по показаниям DFL-800. Если конечно она в килоБайтах показывает.

Если это килоБИты, то прошу прощения. Но тогда тем более странно, нагрузка тогда просто минимальная.
Физический канал ~10 мегабит.

Физика - (один нагруженный канал) - оптоволокно через конверторы интерфейса. остальные туннели через интернет. MTU везде 1420, да и на ping с длиной пакета в 32 байта он не должен влиять.

Пинг внешнего адреса маршрутизаторов удалённых офисов всегда практически без потерь, пинг же внутреннего адреса удалённого маршрутизатора либо сервера за ним всегда с большими потерями.

Пинг сервера на другом конце тунеля:

Загрузка тунеля:

И самого DFL-800

Разбирался с правилами
Изменил правила для нагруженого канала, вместо "allow" поставил "FwdFast", количество соединений снизилось драматически. Связь стала ЧУТОК получше, но все равно, потери пакетов на уровне 15-20%




Интересует упоминание в мануале следующего:
" FwdFast: Lets the packet pass through the firewall without setting up a state for it. Generally speaking, it is faster for an individual packet, but it
is less secure than Allow or NAT rules, and also slower than Allow rules for the whole established connection, as every subsequent packet
also needs to be checked against the rule section."
Что под этим подразумевается, и как то написать в правилах.

Я так понимаю нет идей ни у кого?

По-русски же написано.

FwdFast: Позволяет пакету проходить через firewall, не устанавливая соединение для этого. Вообще говоря, это быстрее для отдельного пакета, но этого менее безопасно, чем Allow или NAT правила, и также медленнее, чем Allow правила для уже установленного соединения, так как каждый последующий пакет также нуждается в проверке по списку правил"

В качесте эксперимента можно один из IPSec каналов заменить шифрованным PPTP. Понятно, что это не так защищенно, как IPSec. Но будет какая-то доп. информация.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Перевести то я перевел. Непонятен немного смысл.
FwdFast - это получается тогда классическая маршрутизация?
А что такое тогда правило allow?

В общем да. только медленнее, чем через установленное соединение.

Это с установлением соединения. Обычный для файрволлов способ.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

С установлением соединения - то есть так же как и при НАТе?
Тогда ясно. FwdFast мне подходит больше.
Осталось последнее - выяснить почему пропадают пакеты. Последнее подозрение это сравнительно большая загрузка процессора. 40-60%.
Есть какие то команды, для просмотра чем процессор загружен?
Что-то типа show process cpu в Cisco. Консоль DFL`ки посмотрел, ничего похожего не нашёл.

FwdFast (быстрый проброс)
Пакетам, удовлетворяющим правилу с действием FwdFast
прохождение разрешается незамедлительно.
Firewall не записывает соединения по этим правилам в таблицу соединений, и, соотвественно, не отслеживает контекст соединения для этих пакетов.
Этот метод работает быстрее для протоколов, не использующих соединения.
Для протоколов с большим объемом передаваемого трафика через одно соединение действие Allow работает быстрее.
Allow (разрешить)
Пакеты, удовлетворяющие правилу с действием Allow, записываются в таблицу соединений.
Эта таблица содержит список всех открытых соединений, проходящих через firewall в данный момент
Правила для ответных пакетов не требуется, так как они принадлежат уже открытому соединению, запись о котором есть в таблице

По поводу загруженности, 6-8 мегабит, это не большая нагрузка.
Но если при этом идет сильный флуд с удаленной lan, можно загрузить проц.
Если при этом удаленная сеть ходит через ваш DFL в инет, то вполне возможно.
Вам нужно снифом проанализировать пакеты в удаленной сети.