Добрый день.

Что у меня было:
Есть связь между головным и доп. офисом.
С обеих сторон - ZyWall35E.
Параметры VPN: IKE -> AES/MD5/DH1, IpSec -> ESP/DES/MD5/DH1/LifeTime=28800

Что я делаю:
В головном офисе ставлю DFL1600. Параметры VPN, естесственно, такие же (ничего лишнего оставил только нужные алгоритмы). Маршрутизация, проброс портов - так же точно.

Что в итоге получается:
Сыязь с допником есть. порты пробрасываются, НО! Скорость оч-ч-ч-чень низкая.
Измерил скорость: Wan2 (через него VPN идёт) Send: 3 kbps, Reсv: 5 kbps.
На самом IpSec интерфейсе: Send: 2 kbps, Reсv: 4 kbps.

Для сравнения: (На ZyWall скорость напрямую не измеряется - меряю копированием большого файла через FAR )
С головного в допник V = 110..130 Kb/s.
С допника в головной V = 75..85 Kb/s.

Что такое Kb - КилоБайт или КилоБит - я не знаю.
Но даже если предположить, что Far показывает в битах (худший вариант для сравнения, хотя IMHO в он байтах показывает), а DFL - в байтах,
разница: 80 / (2*8бит) = 5раз..
Заявленная производительность VPN в D-Link DFL1600 : 120 Мбит/с.

В каком направлении искать ответ?!!

_________________
С уважением, Алексей Столяров

В замере скорости через утилиту, а не через устройство.
Не забываем и о ширине канала.

Поясните plz. Не понятно что имели в виду..



В схеме не менялось ничего, кроме ZyWall <-> DFL1600.

Скорость упала ОЧЕНЬ ЗНАЧИТЕЛЬНО

Это не то чтобы придирки к цифрам.
Работать с допником вообще не возможно.. Едиственно что возможно, ping + RemoteAdmin.

_________________
С уважением, Алексей Столяров

Просьба меня понять правильно.
Но как я могу комметировать ваше сообщение?

Я так чуствую понимание между нами утеряно. Стоп!.

Давайте всё с начала и по порядку.
1. Есть устройство DFL1600 (fw 2.11.03) - прошивка с сайта http://ftp.dlink.ru/pub/FireWall/DFL-1600/Firmware.

2. Есть связь между головным и доп.офисом через MPLS-VPN.
В настоящее время с обеих сторон стоят ZyWal35E.
Параметры VPN: IKE -> AES/MD5/DH1, IpSec -> ESP/DES/MD5/DH1/LifeTime=28800

3. Я меняю ZyWall в головном офисе на DFL1600. Настраиваю его аналогично ZyWall, 1 в 1 (иначе VPN просто не поднимется). Маршрутизация, проброс портов - тоже 1 в 1.

4. В итоге VPN канал устанавливается, всё пингуется и всё что надо пробрасывается. Но скорость связи с допником упала очень сильно. Можно было свалить на канал связи, но проверено: именно из-за DFL.

5. А посему вопрос: в чём может быть дело, где искать причину. Ведь ничего кроме замены ZyWall <-> DFL1600 я не делал.
Ширина канала как была так и осталась, цифры можно было и не приводить, и скорость не мерить.
Видно и невооружёным глазом что скорость упала.. если раньше с допника работали 12 компьютеров (несколько систем, толстые клиенты) то сейчас ни одна система не может работать, даже шары с сервака не может открыть..

В правилах разрешены абсолютно все сервисы в обе стороны..


Станислав, при чём тут ширина канала?!!. Что вы к ней прицепились?!! Забудьте про цифры.

_________________
С уважением, Алексей Столяров

Уважаемый, т.к. Вы предоставляете мизерные данные аля "У меня на счётчиках интерфейсах маленькие циферки, по этому я решил что всё медленно работает" Я буду цеплятся за всё, потому что хочу максимально сузить круг проблем и предоставить информацию для Вас.

А по поводу ширины канала это сообщение больше относилось к "Заявленная производительность VPN в D-Link DFL1600 : 120 Мбит/с."

Как я понимаю у Вас на уровне доступа стоит CISCO(с 100Мб портами) и DFL-1600 скомутирован именно с ней. Посмотрите ошибки на интфейсах обоих устройств, потому как иногда возникают проблемы с автоопределением скорости между Cisco и DFL.
Если ошибки есть, то перевидите оба порта в фиксированную конфигурацию 100full или 1000.

Связался с провайдером. Долго пробовали..

Схема подключения у нас такая
DFL1600 (или ZyWall) <-> Compex DSG1008 (гигабитный свич) <-> 100Mb Свич у провайдера...

Проблема похоже имеено в д-линке, потому что:
1. Пробовали втыкать по схеме DFL <-> провайдерский свич. то же самое.
2. Пробовал втыкать вместо Compex - 3Com BaseLine 2816 (Гигабитный). Скорость на приём (с допника в головной) выросла до 80kbps. На передачу осталасть такой же..
3. Можно свалить на свич, но ZyWall в этой схеме работал на 5+

Похоже что DFL не может согласовать скорость..
Что делать то?

Может прошивка сыровата? (fw 2.11.03)
куда копать то?

_________________
С уважением, Алексей Столяров

Как я уже говорил, нужно выставить скорость руками, а не давать выбирать её устройствам. В идеале с обоих сторон.
Счётчики ошибок на интерфейсе WAN что показывают?
в консоли ifst wan1

Ствим в рукопашную.. wan2 = 1000Mb

DFL-1600:/> ifstat wan2
Iface wan2
Builtin Yukon - 88E8001, Marvell Gigabit Controller Bus 1 Slot 13 IRQ 0
Link Status : 1000 Mbps Full Duplex
Receive Mode : Normal
MTU : 1500
IP Address : 10.5.0.2
Hw Address : 0013:463d:d560
PBR Membership: main

Software Statistics:
Soft received : 244 Soft sent : 160 Send failures : 0
Dropped : 0 IP Input Errs : 0

Driver information / hardware statistics:
IN : packets= 245 bytes= 48612 errors= 0 dropped= 0
OUT: packets= 160 bytes= 26342 errors= 0 dropped= 0

Collisions : 0
In : Length Errors : 0
In : Overruns : 0
In : CRC Errors : 0
In : Frame Errors : 0
In : FIFO Overruns : 0
In : Packets Missed : 0
Out: Sends Aborted : 0
Out: Carrier Errors : 0
Out: FIFO Underruns : 0
Out: SQE Errors : 0
Out: Late Collisions : 0



DFL-1600:/> ifstat dmz
Iface dmz
Builtin Yukon - 88E8001, Marvell Gigabit Controller Bus 1 Slot 12 IRQ 35870
Receive Mode : Normal
MTU : 1500
IP Address : 192.168.100.1
Hw Address : 0013:463d:d55f
PBR Membership: main

Software Statistics:
Soft received : 2894 Soft sent : 4293 Send failures : 0
Dropped : 91 IP Input Errs : 0

Driver information / hardware statistics:
IN : packets= 691890 bytes=93409748 errors= 0 dropped= 0
OUT: packets= 917603 bytes=480751640 errors= 0 dropped= 96

Collisions : 0
In : Length Errors : 0
In : Overruns : 0
In : CRC Errors : 0
In : Frame Errors : 0
In : FIFO Overruns : 0
In : Packets Missed : 0
Out: Sends Aborted : 0
Out: Carrier Errors : 0
Out: FIFO Underruns : 0
Out: SQE Errors : 0
Out: Late Collisions : 0




wan2 = 100Mb/FullDuplex

WAN1
IP Address: 217.115.86.134
Link Status:
MAC Address: 0013:463d:d561
Send Rate: 42 kbps
Receive Rate: 120 kbps

WAN2
IP Address: 10.5.0.2
Link Status: 1000 Mbps Full Duplex
MAC Address: 0013:463d:d560
Send Rate: 2 kbps
Receive Rate: 2 kbps


Iface wan2
Builtin Yukon - 88E8001, Marvell Gigabit Controller Bus 1 Slot 13 IRQ 0
Link Status : 1000 Mbps Full Duplex
Receive Mode : Normal
MTU : 1500
IP Address : 10.5.0.2
Hw Address : 0013:463d:d560
PBR Membership: main

Software Statistics:
Soft received : 206 Soft sent : 152 Send failures : 0
Dropped : 0 IP Input Errs : 0

Driver information / hardware statistics:
IN : packets= 206 bytes= 31576 errors= 0 dropped= 0
OUT: packets= 153 bytes= 35760 errors= 0 dropped= 0

Collisions : 0
In : Length Errors : 0
In : Overruns : 0
In : CRC Errors : 0
In : Frame Errors : 0
In : FIFO Overruns : 0
In : Packets Missed : 0
Out: Sends Aborted : 0
Out: Carrier Errors : 0
Out: FIFO Underruns : 0
Out: SQE Errors : 0
Out: Late Collisions : 0


DFL-1600:/> ifstat dmz
Iface dmz
Builtin Yukon - 88E8001, Marvell Gigabit Controller Bus 1 Slot 12 IRQ 35870
Receive Mode : Normal
MTU : 1500
IP Address : 192.168.100.1
Hw Address : 0013:463d:d55f
PBR Membership: main

Software Statistics:
Soft received : 2220 Soft sent : 2680 Send failures : 0
Dropped : 79 IP Input Errs : 0

Driver information / hardware statistics:
IN : packets= 694912 bytes=94192695 errors= 0 dropped= 0
OUT: packets= 921186 bytes=482398961 errors= 0 dropped= 96

Collisions : 0
In : Length Errors : 0
In : Overruns : 0
In : CRC Errors : 0
In : Frame Errors : 0
In : FIFO Overruns : 0
In : Packets Missed : 0
Out: Sends Aborted : 0
Out: Carrier Errors : 0
Out: FIFO Underruns : 0
Out: SQE Errors : 0
Out: Late Collisions : 0

_________________
С уважением, Алексей Столяров

После выставления скорости руками что-то изменилось?
Рекомендую выставить скорости от 10 до 1000 и посмотреть на результаты.

так в предыдущем ответе я так и делал.
ручками выставлял сначала 1000 а потом 100 Мб,

ничего не изменилось..

т.к. Compex DSG1008 неуправляемый, то скорость менял только на DFL

_________________
С уважением, Алексей Столяров

А со стороны LAN попробуйте подключить отдельный компьютер со свободного интерфейса.
Не могли бы вы опубликовать какой-нить сервис(например FTP) чтобы посмотреть какая скорость до Вашей локальной сети.

imho замер скорости вам ничего не даст..
у нас MPLS-VPN в качестве среды передачи данных используются локальные сети провайдера (то есть дальше их маршрутизаторов не уходит). VPN не через интернет сделан.

я вот что заметил, может это поможет.
выставил на Wan2 mtu=1472 (вместо 1500)
скорость на приём выросла до 85 Kb/s (это не на wan2, а уже сам VPN канал) на передачу 15 kbps (при ZyWalle было на приём 75..85 Kb/s)




imho не в ту сторону копаем.
объясняю: wan1 и wan2 подключены к одному и тому же свичу (Compex DSG1008). если wan1 нормально с ним скорость согласовывает, то wan2 по идее тоже.

_________________
С уважением, Алексей Столяров