Перейти до

Скорость через туннель l2tp/ipsec

Belirium

Автор: Belirium,
в Залізо

 Share Подписчики 3

Рекомендованные сообщения

Belirium

Belirium 6

Опубликовано:
Опубликовано:

 Всем добрый день, прошу помощи и совета. Есть сеть, в которой интернет ходит по одному влану. Создан туннель l2tp/ipsec между роутерами. Примерно схема такая: роутер-сервер-интернет-сервер-роутер. При этом максимальная скорость через туннель 10Мб. Процессоры загружены на ~20%. Как сделать, чтобы скорость была больше?

Ссылка на сообщение
Поделиться на других сайтах
Belirium

Belirium 6

Опубліковано:
  • Автор
Опубліковано:
  В 09.02.2021 в 16:07, Туйон сказав:

Какие роутеры то?

Может там в среднем 20%, но при этом одно ядро загружено на 100% и в этом затык.

Expand  

Cisco C1111-4P

Ссылка на сообщение
Поделиться на других сайтах
BUM

BUM 242

Опубліковано:
Опубліковано:

 

  В 09.02.2021 в 12:08, Belirium сказав:

Примерно схема такая: роутер-сервер-интернет-сервер-роутер.

Expand  

в схеме ONU-шки присутствуют? :)

Ссылка на сообщение
Поделиться на других сайтах
BUM

BUM 242

Опубліковано:
Опубліковано:
  В 10.02.2021 в 06:21, Belirium сказав:

ONU нет. Если бы была, какая могла быть причина?

Expand  

Проблема в прошивке ОНУ... а так попробуйте перед сервером поставить роутер. Возможно модули на сервере не подгружены. 

Ссылка на сообщение
Поделиться на других сайтах
  • 5 months later...
gelmas_x

gelmas_x 11

Опубліковано:
Опубліковано:
  В 10.02.2021 в 21:18, BUM сказав:

Проблема в прошивке ОНУ... а так попробуйте перед сервером поставить роутер. Возможно модули на сервере не подгружены. 

Expand  

А можно поподробнее про проблему в прошивке? У абона ONU. Мимо тунеля - всё ОК. Но как только через IPSEC - 10Mbit/s.

Ссылка на сообщение
Поделиться на других сайтах
Kiano

Kiano 616

Опубліковано:
Опубліковано:

Интересный момент с ону, аж любопытно.

Как л1/л2 железка может участвовать в l2tp/ipsec? 

 

ТС: оба роутера с белыми ипами? Как в плане с мту? Каким разммером пакетов тестируете скорость?

Ссылка на сообщение
Поделиться на других сайтах
Sоrk

Sоrk 48

Опубліковано:
Опубліковано:
  В 10.02.2021 в 21:18, BUM сказав:

Проблема в прошивке ОНУ...

Expand  

 

случаем не с FoxGate ONU 1001MZ ? 

а то висит очень похожая жалоба абонента, но не понятно в чём причина

Ссылка на сообщение
Поделиться на других сайтах
Dimkers

Dimkers 1 606

Опубліковано:
Опубліковано: (відредаговано)
  В 26.07.2021 в 15:09, Kiano сказав:

Как л1/л2 железка может участвовать в l2tp/ipsec

Expand  

ОНУ != Л1/Л2 онли.

Были ОНУ, которые dhcp реквесты не пропускали. Смена прошивки помогала. По-моему какие-то алткатели из первых...

Так же были ОНУ хпон из относительно свежих, что коверкали dhcp респонсы. Списались с разрабами, те выпустили новую прошивку и полетело.

Відредаговано Dimkers
Ссылка на сообщение
Поделиться на других сайтах
nedoinet

nedoinet 441

Опубліковано:
Опубліковано:
  В 27.07.2021 в 09:07, Туйон сказав:

А существуют вообще какие то тупые ону, которые без веб-интерфейса и прочего, просто как медик грубо говоря?

Expand  

Без веба есть. Но один чпо она поумнее медика. Что есть хорошо.

Ссылка на сообщение
Поделиться на других сайтах
Туйон

Туйон 1 289

Опубліковано:
Опубліковано:
  В 27.07.2021 в 10:32, nedoinet сказав:

Без веба есть. Но один чпо она поумнее медика. Что есть хорошо.

Expand  

А что она умеет без веб-интерфейса?

Я о том, что чем тупее тем меньше варик что подвиснет и меньше варик что с трафиком что-то будет делать.

Например я хочу в многоэтажном секторе сделать так - ону - управляха, зачем мне функции ону тогда?

Ссылка на сообщение
Поделиться на других сайтах
Kiano

Kiano 616

Опубліковано:
Опубліковано:
  В 27.07.2021 в 14:44, Туйон сказав:

А что она умеет без веб-интерфейса?

Я о том, что чем тупее тем меньше варик что подвиснет и меньше варик что с трафиком что-то будет делать.

Например я хочу в многоэтажном секторе сделать так - ону - управляха, зачем мне функции ону тогда?

Expand  

Всё равно будут виснуть, не трать время

  В 27.07.2021 в 08:48, Dimkers сказав:

ОНУ != Л1/Л2 онли.

Были ОНУ, которые dhcp реквесты не пропускали. Смена прошивки помогала. По-моему какие-то алткатели из первых...

Так же были ОНУ хпон из относительно свежих, что коверкали dhcp респонсы. Списались с разрабами, те выпустили новую прошивку и полетело.

Expand  

Но это как бы не нормально.

Может там какой снупинг и тд, но так не должно быть

  • Confused 1
Ссылка на сообщение
Поделиться на других сайтах
nedoinet

nedoinet 441

Опубліковано:
Опубліковано: (відредаговано)
  В 27.07.2021 в 14:44, Туйон сказав:

А что она умеет без веб-интерфейса?

Expand  

Все то же самое что и с вебом, ну возможно окромя быть абонентским роутером( хз, юзал всего пару раз сию возможность).

 

  В 27.07.2021 в 14:44, Туйон сказав:

хочу в многоэтажном секторе сделать так - ону - управляха,

Expand  

В чем проблема? И на тупарях такая схема живет. И на 4-8 портовых онухах. И в частном секторе вместо медюка и за ней гирлянда тупая. А онуха она и однопортовая умеет  вланы, и лупдетект и расскажет как ей живется/сигнал/трипературу, и гиговый порт имеет. И все это гривен этак за 300-350. Скока там гиговый медюк с интегрированым передатчиком стоит? А если под модуль? +Модуль. Ото ж бо.

  В 27.07.2021 в 14:44, Туйон сказав:

зачем мне функции ону тогда?

Expand  

Затем что на одно волокно можно поднавесить народу без паровозинга.

Відредаговано nedoinet
Ссылка на сообщение
Поделиться на других сайтах
Dimkers

Dimkers 1 606

Опубліковано:
Опубліковано:
  В 27.07.2021 в 15:18, Kiano сказав:

Но это как бы не нормально.

Может там какой снупинг и тд, но так не должно быть

Expand  

Ну да, не должно быть :)

Поэтому прошивкой ОНУ и поправилось )))

Ссылка на сообщение
Поделиться на других сайтах
Belirium

Belirium 6

Опубліковано:
  • Автор
Опубліковано:
  В 26.07.2021 в 11:12, gelmas_x сказав:

А можно поподробнее про проблему в прошивке? У абона ONU. Мимо тунеля - всё ОК. Но как только через IPSEC - 10Mbit/s.

Expand  

У нас была похожая проблема на BDCOM 1501DT, решилась изменением типа подключения. Поменяли ону на медиаконвектор.

Ссылка на сообщение
Поделиться на других сайтах
gelmas_x

gelmas_x 11

Опубліковано:
Опубліковано:
  В 26.07.2021 в 11:12, gelmas_x сказав:

А можно поподробнее про проблему в прошивке? У абона ONU. Мимо тунеля - всё ОК. Но как только через IPSEC - 10Mbit/s.

Expand  

Сам в шоке но факт. Сменили ONU (STELS Hardware Version : F680.1A Software Version : V1.2.2) - и всё ОК! Версии той, что стояли не записали (если кому будет интересно - глянем, отпишем).

Ссылка на сообщение
Поделиться на других сайтах
Belirium

Belirium 6

Опубліковано:
  • Автор
Опубліковано:
  В 28.07.2021 в 09:04, Туйон сказав:

Это как? Взяли SFP-корзину, в неё вставили SFP-онушку?

Expand  

 Просто перепаяли линию и поменяли olt-onu на медиаконвертер-медиаконвертер.

Ссылка на сообщение
Поделиться на других сайтах
nedoinet

nedoinet 441

Опубліковано:
Опубліковано:
  В 28.07.2021 в 13:30, Belirium сказав:

 Просто перепаяли линию и поменяли olt-onu на медиаконвертер-медиаконвертер.

Expand  

Это просто умопомпрачительный маневр, если есть свободные волокна с узла.

Ссылка на сообщение
Поделиться на других сайтах
Kiano

Kiano 616

Опубліковано:
Опубліковано:
  В 28.07.2021 в 09:37, gelmas_x сказав:

Сам в шоке но факт. Сменили ONU (STELS Hardware Version : F680.1A Software Version : V1.2.2) - и всё ОК! Версии той, что стояли не записали (если кому будет интересно - глянем, отпишем).

Expand  

Век живи - век учись. Но факт.

Ссылка на сообщение
Поделиться на других сайтах
max_m

max_m 92

Опубліковано:
Опубліковано: (відредаговано)

Не знаю может это как то связано но была у нас такая загадка в свое время с Ону Стелс и подобных им Фксгейт и т.д распознаются они примерно так (FD111HZ) если не ошибаюсь версия софта V1.1.2... Так вот тип авторизации который мы юзаем РРРоЕ если сессия подымалась на компе с Windows ОС то биш кабель напрямую в онку или даже через тупарик к примеру после онки то скорость больше 10Мбит не прокачивало все равно с какой скоростью поднят порт в 100Мбит или 1000Мбит , а если после онки стоит Роутер и на нем поднята  РРРоЕ сессия то без проблем хоть 100 хоть 1000. Решалось это если конкретно на стелсах заменой софта на V1.1.4 (его мы отдельно запрашивали ,а штатно все клепают на прошивеV1.1.2 )тогда все работало корректно. Но затем мы на это забили потому как у 99% стоят роутеры и данная проблема не актуальна, а те у кого нет роутера и комп на прямую в онку включен, просто перенастраивается Онка  в режим роутера и все корректно работает на любом софте. Так это я к чему, весь этот спичь. Если у ТС стоит Онка потом кабель напрямую в комп или в свичь и в комп и пытается поднять PPP вот такой глюк и ловит.  

Відредаговано max_m
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
 Share
Подписчики 3
Перейти до переліку тем

  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • itsale
      Помогите настроить L2TP/IPsec VPN на pfSense 2.3.2
      Від itsale
      Здравствуйте! Помогите настроить L2TP/IPsec VPN на pfSense. Есть свежеустановленная тестовая машина с pfSense: 2.3.2-RELEASE (i386)   built on Tue Jul 19 13:09:39 CDT 2016  FreeBSD 10.3-RELEASE-p5    WAN IP: 62.216.xx.xx LAN IP (DHCP - disabled): 192.168.1.5   Настраивал по мануалу Логи pfsense: Oct 1 02:03:13 charon 10[NET] <13> received packet: from 89.252.xx.xx[500] to 62.216.xx.xx[500] (408 bytes) Oct 1 02:03:13 charon 10[ENC] <13> parsed ID_PROT request 0 [ SA V V V V V V V V ] Oct 1 02:03:13 charon 10[ENC] <13> received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:01 Oct 1 02:03:13 charon 10[IKE] <13> received MS NT5 ISAKMPOAKLEY vendor ID Oct 1 02:03:13 charon 10[IKE] <13> received NAT-T (RFC 3947) vendor ID Oct 1 02:03:13 charon 10[IKE] <13> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Oct 1 02:03:13 charon 10[IKE] <13> received FRAGMENTATION vendor ID Oct 1 02:03:13 charon 10[ENC] <13> received unknown vendor ID: fb:1d:e3:cd:f3:41:b7:ea:16:b7:e5:be:08:55:f1:20 Oct 1 02:03:13 charon 10[ENC] <13> received unknown vendor ID: 26:24:4d:38:ed:db:61:b3:17:2a:36:e3:d0:cf:b8:19 Oct 1 02:03:13 charon 10[ENC] <13> received unknown vendor ID: e3:a5:96:6a:76:37:9f:e7:07:22:82:31:e5:ce:86:52 Oct 1 02:03:13 charon 10[IKE] <13> 89.252.xx.xx is initiating a Main Mode IKE_SA Oct 1 02:03:13 charon 10[ENC] <13> generating ID_PROT response 0 [ SA V V V V ] Oct 1 02:03:13 charon 10[NET] <13> sending packet: from 62.216.xx.xx[500] to 89.252.xx.xx[500] (160 bytes) Oct 1 02:03:13 charon 10[NET] <13> received packet: from 89.252.xx.xx[500] to 62.216.xx.xx[500] (388 bytes) Oct 1 02:03:13 charon 10[ENC] <13> parsed ID_PROT request 0 [ KE No NAT-D NAT-D ] Oct 1 02:03:13 charon 10[IKE] <13> remote host is behind NAT Oct 1 02:03:13 charon 10[ENC] <13> generating ID_PROT response 0 [ KE No NAT-D NAT-D ] Oct 1 02:03:13 charon 10[NET] <13> sending packet: from 62.216.xx.xx[500] to 89.252.xx.xx[500] (372 bytes) Oct 1 02:03:13 charon 10[NET] <13> received packet: from 89.252.xx.xx[4500] to 62.216.xx.xx[4500] (76 bytes) Oct 1 02:03:13 charon 10[ENC] <13> parsed ID_PROT request 0 [ ID HASH ] Oct 1 02:03:13 charon 10[CFG] <13> looking for pre-shared key peer configs matching 62.216.xx.xx...89.252.xx.xx[192.168.5.104] Oct 1 02:03:13 charon 10[CFG] <13> selected peer config "con1" Oct 1 02:03:13 charon 10[IKE] <con1|13> IKE_SA con1[13] established between 62.216.xx.xx[62.216.xx.xx]...89.252.xx.xx[192.168.5.104] Oct 1 02:03:13 charon 10[IKE] <con1|13> scheduling reauthentication in 28143s Oct 1 02:03:13 charon 10[IKE] <con1|13> maximum IKE_SA lifetime 28683s Oct 1 02:03:13 charon 10[IKE] <con1|13> DPD not supported by peer, disabled Oct 1 02:03:13 charon 10[ENC] <con1|13> generating ID_PROT response 0 [ ID HASH ] Oct 1 02:03:13 charon 10[NET] <con1|13> sending packet: from 62.216.xx.xx[4500] to 89.252.xx.xx[4500] (76 bytes) Oct 1 02:03:13 charon 15[NET] <con1|13> received packet: from 89.252.xx.xx[4500] to 62.216.xx.xx[4500] (332 bytes) Oct 1 02:03:13 charon 15[ENC] <con1|13> parsed QUICK_MODE request 1 [ HASH SA No ID ID NAT-OA NAT-OA ] Oct 1 02:03:13 charon 15[IKE] <con1|13> received 250000000 lifebytes, configured 0 Oct 1 02:03:13 charon 15[ENC] <con1|13> generating QUICK_MODE response 1 [ HASH SA No ID ID NAT-OA NAT-OA ] Oct 1 02:03:13 charon 15[NET] <con1|13> sending packet: from 62.216.xx.xx[4500] to 89.252.xx.xx[4500] (204 bytes) Oct 1 02:03:13 charon 15[NET] <con1|13> received packet: from 89.252.xx.xx[4500] to 62.216.xx.xx[4500] (60 bytes) Oct 1 02:03:13 charon 15[ENC] <con1|13> parsed QUICK_MODE request 1 [ HASH ] Oct 1 02:03:13 charon 15[IKE] <con1|13> CHILD_SA con1{6} established with SPIs c1421d55_i a0ce5dca_o and TS 62.216.xx.xx/32|/0[udp/l2f] === 89.252.xx.xx/32|/0[udp/l2f] Oct 1 02:03:48 charon 15[NET] <con1|13> received packet: from 89.252.xx.xx[4500] to 62.216.xx.xx[4500] (76 bytes) Oct 1 02:03:48 charon 15[ENC] <con1|13> parsed INFORMATIONAL_V1 request 4256905100 [ HASH D ] Oct 1 02:03:48 charon 15[IKE] <con1|13> received DELETE for ESP CHILD_SA with SPI a0ce5dca Oct 1 02:03:48 charon 15[IKE] <con1|13> closing CHILD_SA con1{6} with SPIs c1421d55_i (756 bytes) a0ce5dca_o (0 bytes) and TS 62.216.xx.xx/32|/0[udp/l2f] === 89.252.xx.xx/32|/0[udp/l2f] Oct 1 02:03:48 charon 05[NET] <con1|13> received packet: from 89.252.xx.xx[4500] to 62.216.xx.xx[4500] (92 bytes) Oct 1 02:03:48 charon 05[ENC] <con1|13> parsed INFORMATIONAL_V1 request 3672929147 [ HASH D ] Oct 1 02:03:48 charon 05[IKE] <con1|13> received DELETE for IKE_SA con1[13] Oct 1 02:03:48 charon 05[IKE] <con1|13> deleting IKE_SA con1[13] between 62.216.xx.xx[62.216.xx.xx]...89.252.xx.xx[192.168.5.104] В винде при подключении ошибка:
      Не удалось установить связь по сети между компьютером и ВПН-сервером, так как удаленный сервер не отвечает. Возможная причина: одно из сетевых устройств не настроено для разрешения ВПН подключений... Роутер перед клиентским ноутбуком 100% пропускает ВПН трафик, так как успешно подключается к другому L2TP/IPsec VPN-серверу.
       
      Подскажите в чем может быть проблема?
×
×
  • Створити нове...