В том то и дело что ничем, нет ошибок и т.п. И тем не менее со скоростью по прежнему полная ж..а.
Пришлось для полноты картины запустить на обеих "концах" (два клиента подключенные к dfl) iperf.
Результаты подтверждают что что то не так с SSL на DFL.
Суть теста включаю iperf на одном конце сервер на втором клиент, причем только один клиент ssl vpn
вторая машина напрямую подключена к lan интерфейсу dfl (сервер "висит" на wan), это сделал специально
чтобы исключить неизвестные аспекты работы встречно двух машин под ssl.
Делал несколько по несколько экспериментов, сначала одна машина в качестве сервера, затем другая (это
меняло направление трафика). так же тестировал оба режима iperf: TCP и UDP.
Результаты удручающие - график скорости похож на расческу, стабильной скорости передачи даже не пахнет.
Скорость очент низкая порядок - пару сотен килобит при скорости канала не менее 10 МБит. Провайдеров менял,
картина принципиально не изменилась.
Далее провел следующий эксперимент - запустил данную утилиту на но уже через L2TP и PPTP сервера, разумеется
по очереди, сначала только L2TP затем только PPTP, вторая машина попрежнему в сегменте lan, т.е. клиентом VPN не
выступала.
Отличия разительны. Скорость на L2TP превысила SSL в 2-3 раза (эксперемент по времени делался практически в
течении получаса, провайдер не менялся).
Скорость PPTP так и вовсе не менее чем в 10 раз превысила SSL и практически приблзилась (в режиме UDP) к
пропускной способности канала.
В свойствах интерфейса SSL была замечена большая по отношению к переданному количеству пакетов, величина
"отброшенных" пакетов.
Скрины графиков скоростных тестов выложу в ближайшее время.

Может попробовать с версиями клиента поиграть?
10.22 "раздает" клиента версии 1.1.1.3 build 26.09.2014 (забавно, что билду ровно год)

Можно, вот только исходя из каких критериев, т.е. на что мне опереться ? что будет критерием ?
К тому же я уже перевел все железки у меня имеющиеся на прошивку v10.x.x.

Как писал выше я начал сравнивать при обсолютно идентичных начальных условиях тестировать три типа сервера
L2TP/PPTP/SSL VPN.
Все "висят" на wan DFL260E. Изначально у меня лидером был PPTP трафик иногда достигал ~10 Mbit/s это практически
ширина LTE канала на котором сидят клиенты. Приемный провайдер у DFL может принять примерно 15 Mbit/s.
Вторым по рейтингу шел L2TP он "выдавал" на гора примерно 2 500 Kbit/s. И завершал аутсайдер SSL он упорно выдает
примерно 250 Kbit/s.
Я уже хотел сделать замер по всем трем сразу в одно время, что бы дать четкую картину сравнения, но вернулся к настройке
IPsec на котором сидит L2TP и уменьшил MTU до:
Plaintext MTU: 1340
И о чудо скорость подскачила почти до 10 Mbit/s а это почти ширина канала !
SSL остался на своих прежних 250 Kbit\s

Ниже лог одного из клиентов, люди знающие посмотрите может какой криминал увидите ? Буду весьма признателен !

---== Diagnostic console window created ==---

D-Link SSL VPN Client
Version: 1.1.1.3
Build: 2014-09-26 16:24 (69114)
Copyright (C) D-Link 2010-2014
Windows Version: 6.2 Workstation (Windows

Default Config:
Server: 85.236.16x.y:443
User: user2
Fingerprint: "94:69:8b:cf:3e:f9:ad..."
Routes: 1 routes configured
Route 1: 10.1.200.0/24
Service: ClientHello OK
Service: SSL_SetIfaceAddr OK
Service: SSL_SetDNSIface OK
Service: ROUTE_FixDefaultRoute OK
Using configuration
Server: 85.236.16x.y:443
User: user2
Fingerprint: "94:69:8b:cf:3e:f9:ad..."
Routes: 1 routes configured
Route 1: 10.1.200.0/24
[ TCP: 5] [TCP] Resolving host "85.236.16x.y" port 443
[ TCP: 5] [TCP] Opening socket
[ TCP: 5] Connecting
PPPHandle_PPP_EventHandler: 2 (PPP_EVENT_STARTED)
PPPHandle_PPP_EventHandler: 1 (PPP_EVENT_DOWN)
PPPHandle_PPP_EventHandler: 0 (PPP_EVENT_UP)
PPPHandle_IPCP_EventHandler: 0 (PPP_EVENT_UP)

Server Configuration
---------------------------
ClientIP : 192.168.150.2
ServerIP : 192.168.150.254
DNS1 : 0.0.0.0
DNS2 : 0.0.0.0
NBNS1 : 0.0.0.0
NBNS2 : 0.0.0.0
MTU : 1400
MRU : 1467

SSL VPN Interface Info
---------------------------
SSL VPN:
Index: 29 MTU: 1500
IP: 1.1.1.1 (255.255.255.0) GW: 0.0.0.0
DNS1: 0.0.0.0 DNS2: 0.0.0.0
GUID: {ABD965C3-C71B-4539-9013-367F5C118228}
Description: SSL VPN TAP-Win32 Adapter V9
Service: SSL_SetIfaceAddr OK
Service: SSL_SetDNSIface OK

Current IP: 192.168.150.2
Current GW: 0.0.0.0
Current DNS1: 0.0.0.0
Current DNS2: 0.0.0.0
.
Interface Information
----------------------------
SSL VPN:
Index: 29 MTU: 1500
IP: 192.168.150.2 (255.255.255.0) GW: 0.0.0.0
DNS1: 0.0.0.0 DNS2: 0.0.0.0
GUID: {ABD965C3-C71B-4539-9013-367F5C118228}
Description: SSL VPN TAP-Win32 Adapter V9
Status: Up
Service: ROUTE_Init OK
Adding single host route for 85.236.16x.y (gateway: 10.1.1.253)
Service: ROUTE_Add FAILED
DEBUG: ROUTE_Service_Add() failed.


Ниже тест скорости
1. Общей скорости канала

2. Скорости SSL (показания сервера - принимающего трафик)

3. Скорости SSL (показания клиента генерирующего трафик)

Что то не проходят ссылки с OneDrive (microsoft) и Drive (google).
Подскажите как вставлять изображения ?
Пока прикрепил вложением.

Еще раз обращаю на изрезанность трафика, например картина с L2TP другая, изрезанность есть
но она "плавная" и до нуля практически никогда не доходит.

C ходу бросается в глаза MTU/MRU сервера меньшие чем MTU клиента
То есть "в лоб" MaximumReciveUnit=1467 < чем MaximumTransferUnit=1500
что покажет
ping <server> -l 1400 -f
ping <server> -l 1470 -f
?

картинки из личного дропбокса/вандрайва - логично что не покажет - как минимум требует авторизации
(проще всего заливать скриншоты на первый попавшийся в поиске "хостинг картинок без регистрации", но лучше не радикал)

Почему не радикал?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

В последнее время он с рекламой и вирусней как уличный барбоска с блохами, точнее уже барбоски не видно - одни блохи.

приветствую !
что касается картинок с onedrive то разумется был сделан доступ всем без авторизации,
у меня от туда изображения как ресурс используются на хостинге, и все работает,
но это к сути дела не имеет..

попробовал пропинговать большими пакетами, не ясно только какой сервер вы имели ввиду,
как я понял под сервером вы имели ввиду внутренний ip ssl сервера, (ssl ip сервера 192.168.150.254,
ssl ip клиента 192.168.150.2 - ниже пинг между ними) результат:
максимум проходят пакеты 1370, это предел.
на всякий я пропинговал адрес wan интерфейса на котором "сидит" ssl сервер, он тоже показал
1370.

Я не очень хорошо представляю себе как работает клиент ssl от dlink, возможно проблемы с ним ?
Но настроек его я фактически не выявил. Например вы задаете вопрос про MTU, но ведь у SSL DFL-ла
MTU не настраивается ну например в отличие от IPsec. У клиента я также ни каких настроек фактически
не нашел. Тогда вопрос как можно отрегулировать MTU ? Буду признателен за информацию !

PS: вопрос в сторону, клиент ssl в dfl-ле ногами случайно не из OpenSSL ? Если да, клиенты OpenSSL можно
цеплять к нему ?

заодно протестировал L2TP и PPTP сидящие на том же wan.
При прочих равных:
L2TP пропускает: 1260
PPTP пропускает: 1370

Настройка MTU IPsec на котором работает L2TP: 1340
У PPTP данной настройки не наше, по сему не знаю.

Мне бросилось в глаза различие MTU в показанных конфигах

ping -l -f - это как бы метод для выяснения реального размера transfer unit - ну чтобы знать "сколько?" (правда со своей стороны)


Если я все правильно понимаю MTU интерфейса минус оверхед - получим MTU виртуального интерфейса


"на всякий я пропинговал адрес wan интерфейса на котором "сидит" ssl сервер, он тоже показал
1370." а в это время SSL был поднят??



Касательно клиента: проверить досконально руки не дошли, родной виндовый клиент возмутился недостоверностью сертификата, так что не исключено что если чутка поиграться прокатит даже он.

Что касается ping и его параметров то у меня никаких вопросов, все параметры мне прекрасно понятны, ранее я уже проверял интерфейсы на предмет какого размера без фрагментации пролезет пакет, потому и скорретировал mtu ipsec.

Я не могу понять как можно отрегулировать данный параметр у SSL. Просто не нашел
1. рекомендаций значений;
2. как можно отрегулировать данный параметр на стороне сервера и клиента соответственно;

Что касается как я пинговал "сервер".
1. был пущен между "виртуальным" адресом сервера и клиента соответсвенно, в направлении от клиента
к серверу. Под виртуальным я подразумеваю ip адреса из ip pool который формировался для ssl vpn.
Значения 192.168.150.1 - 192.168.150.253, 192.168.150.254 - адрес зарезервированный как core адрес
ssl vpn сервера;
2. от клиента ssl vpn был пущен пинг на белый статический ip wan интерфейса на котором "сидят" три сервера
(L2TP/PPTP/SSL). На момент пинга клиент был подключен к ssl, но как я понимаю пинг шел в обход ssl сервера.
Поясню, настройки route на клиентах таковы, что интернет трафик не идет через ssl. С ssl ассоциируется только сеть
192.168.150.0/24. В случае если получатель находится в диапазоне 0.0.0.0/0, то трафик идет через LTE провайдера.



Можно поподробнее, про родной виндовый ? Как писал выше клиенты ssl организованы на Win 8 Pro и Win Server 2012, пока
в тестах принимают участие только Win 8 Pro и Win 7 Pro. В стандартных vpn настройках я не нашел варианта ssl клиента.
Если речь про SSTP, то из описания полагал что это нечто в очередной раз "родное" мелкомягких, разве его можно прикрутить
к ssl dfl-ла ?

И все таки очень интересует родной dlink клиент. Как его можно настроить, ну хотябы тот же параметр mtu ?

Тут стоит отметить такой момент: если я со своего компьютера буду пинговать некий сервер и у меня будет MTU1500, а у некоего сервера 100500 - то пинг обломится на моих 1500

Полагаю что напрямую - никак. Он несколькими уровнями выше этих параметров на модели OSI

Ну насколько я понял то что в винде начиная с висты называется SSTP - это один из диалектов SSL VPN - чем черт не шутит? Тем более что для этого ничего тяжелого делать не надо - ровно как и pptp клиента, только указать другой протокол (и возможно порт)


Кстати гуглеж по поводу SSL VPN приводит к тому, что у него по сравнению с традиционными туннелями - скорость ниже, нагрузка на проц выше.

Загрузку процессора я контролировал, предполагая, что может собака там порылась, но...
Проц DFL с двумя SSL при тест загружен не более чем на 40%. В настройках DFL я поднял приоритет
SSL сервера (появилась такая настройка в прошивке 10.х.х., раньше не видел) и все равно проку нет
Еще раз вдумайтесь 3 500 Kbit\s - 9 800 Kbit\s и 250 Kbit\s, но это ни в какие ворота не лезет,
неправдоподобная разница.

Похоже придется обращаться в DLink, время поджимает а я решения пока не вижу, а SSL для нас важен
там откуда будут организоваться входящие есть проблемы с пропуском L2TP и PPTP у провайдера,
SSL единственный "пролазил" во всех тестах.

PS:
это понятно, насколько я понимаю, согласование MTU происходит при "рукопожатии" и выбирается MTU с наименьшим значением.

Только с кучей оговорок - типа способна ли отправляющая пакет сторона принять и понять ICMP ответ, где написано про размер MTU на другой стороне... и не дропаются или модифицируются ли эти icmp ответы по маршруту между сторонами...


p.s. попробую вечерком все-таки провести эксперимент и "погонять" SSL VPN на 260 и 860 с последними прошивками