В лабораторной работе участвовали связки
DFL-800 - DFL-800
DFL-800 - DFL-210
DFL-210 - DFL-210

измерение скорости производилось двумя способами
1. копирование эталонных файлов с замером времени копирования
2. ipperf-ом

Результаты странные.

На стенде все хорошо.
В боевых условиях на реальных каналах - хрен знает что.

Реальные каналы, участвовавшие в тесте:
1. Радиодоступ 2 Mibps (Местный провайдер)
2. Стекло - 16 Mibps (Тот же местный провайдер)
3. Медь - 20 Mibps (Домашний канал, Ростелеком)
Везде честный белый IP, каналы симметричные.
(Скорости написаны не по скорости линка, а контрактные)

Каналы тестировались попарно
1-2
1-3
2-3

При подключении через PPTP в обе стороны - все хорошо для всех трех серий тестов.
Скорость замеренная по обоим методикам в пределах скорости по контракту за вычетом накладных расходов, за исключением теста 2-3
Там не удалось получить скорость выше 12.5 mbps, не взирая на полностью отключенные правила шейпинга на DFL-ках.

При подъеме IPSec даже с минимальным шифрованием DES
- по первой методике измерения скорость не превышает 56-58 kbps на поток даже при одном потоке.
- по второй методике TCP трафик в моменте разгонялся до 122-126 kbps на поток в обе стороны, с UDP трафиком - все хорошо в пределах контрактов.

Где искать проблему?
Пока предполагаю косяки на стороне "Местного провайдера"

Есть ли у кого мысли по теме?

Как вариант, если проблема не решится, DFL-ки оставлю как PPTP серверы, а в качестве front-end куплю и поставлю 32-ядерные пакетодробилки от Mikrotik с заменой IPSec на OpenVPN с сертификатами на 4096 бит.

попробуйте в настройках IPsec с обеих сторон поставить MTU = 2000 байт

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Как это MTU =2000 ?

Даже для Ethernet без всяких туннелей можно только 1500!!!

У меня MTU 1376, как по учебнику...

Вроде бы, как матчасть учил, а про MTU 2000 в первый раз слышу

Там же кадры рваться будут и скорость упадет еще больше!!!

вы сначала попробуйте

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Могу и попробовать, от меня не убудет, но не раньше 19:00 - люди уже работают и тесты сейчас лучше не проводить, IMHO.

В принципе, это секундное дело. Только обрывы сессий будут происходить при смене конфигурации. А это критично в немногих случаях. Чаще в онлайн играх.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Не удержался. Попробовал на туннеле от главного офиса до дома.
ping увеличился на 3-4 ms, но скорость пошла.

Ни чего не понимаю. Где почитать теорию по теме?

То, что подходит для Сиськи, не подходит для D-Link - удивительно...

Где почитать как правильно вычислять оптимальный MTU для D-Link?

MTU 2000 выведено эксперементальным путем за несколько лет активистами форума.
я прекрасно понимаю , как сейчас у Вас перевернулось с ног на голову все понятия но привыкайте , это Длинк !

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Типа, это не баг, это фича

Я так понимаю, что логического вычисленного обоснования MTU 2000 просто не существует
Чистая эмпирика и ни что более..???

именно так и понимайте ! эмпирика , мамперика - но работает , и это порой максимум что можно выжить из этого .

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

То, что работает я уже заметил. И даже уже все межофисные туннели на MTU 2000 перекинул.
Скорость охренительно возроста даже там где радиоканал...

Но почему - не понимаю... и это несколько выводит меня из себя

порой некоторые вещи надо принять как должное , вот и Вы примите Считайте это чудом

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Нет. Тут на форуме была тема, в которой была ссылка на статью. Статья на английском, где показывалось, что для IPsec (неважно чей) при нормальном MTU возможна фрагментация пакетов на 2, а то и 3. И, как следствие - обрывы сессий и низкая скорость.

Букв там много. Поэтому всю статью не читал и причину не помню. Только факт.

Вот нашел одно замечание на эту тему

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Протестировал с MTU 2000 все более детально.
Для TCP трафика уткнулся в ограничение скорости в ~6.5-7 Mibps на поток.
Контрактную скорость канала получилось отобрать только в три одновременных потока.
Порог ~6.5-7 Mibps на поток преодолеть возможно или это особенность работы IPSec в исполнении D-Link и все дальнейшие танцы с бубном бесполезны?

Подозреваю, что тут может влиять шейпинг, если он у вас настроен.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.