Jump to content

Скорость через туннель l2tp/ipsec


Recommended Posts

 Всем добрый день, прошу помощи и совета. Есть сеть, в которой интернет ходит по одному влану. Создан туннель l2tp/ipsec между роутерами. Примерно схема такая: роутер-сервер-интернет-сервер-роутер. При этом максимальная скорость через туннель 10Мб. Процессоры загружены на ~20%. Как сделать, чтобы скорость была больше?

Link to post
Share on other sites
3 часа назад, Туйон сказал:

Какие роутеры то?

Может там в среднем 20%, но при этом одно ядро загружено на 100% и в этом затык.

Cisco C1111-4P

Link to post
Share on other sites

 

9 часов назад, Belirium сказав:

Примерно схема такая: роутер-сервер-интернет-сервер-роутер.

в схеме ONU-шки присутствуют? :)

Link to post
Share on other sites
14 часов назад, Belirium сказав:

ONU нет. Если бы была, какая могла быть причина?

Проблема в прошивке ОНУ... а так попробуйте перед сервером поставить роутер. Возможно модули на сервере не подгружены. 

Link to post
Share on other sites
  • 5 months later...
В 10.02.2021 в 23:18, BUM сказал:

Проблема в прошивке ОНУ... а так попробуйте перед сервером поставить роутер. Возможно модули на сервере не подгружены. 

А можно поподробнее про проблему в прошивке? У абона ONU. Мимо тунеля - всё ОК. Но как только через IPSEC - 10Mbit/s.

Link to post
Share on other sites

Интересный момент с ону, аж любопытно.

Как л1/л2 железка может участвовать в l2tp/ipsec? 

 

ТС: оба роутера с белыми ипами? Как в плане с мту? Каким разммером пакетов тестируете скорость?

Link to post
Share on other sites
В 10.02.2021 в 23:18, BUM сказал:

Проблема в прошивке ОНУ...

 

случаем не с FoxGate ONU 1001MZ ? 

а то висит очень похожая жалоба абонента, но не понятно в чём причина

Link to post
Share on other sites
17 часов назад, Kiano сказал:

Как л1/л2 железка может участвовать в l2tp/ipsec

ОНУ != Л1/Л2 онли.

Были ОНУ, которые dhcp реквесты не пропускали. Смена прошивки помогала. По-моему какие-то алткатели из первых...

Так же были ОНУ хпон из относительно свежих, что коверкали dhcp респонсы. Списались с разрабами, те выпустили новую прошивку и полетело.

Edited by Dimkers
Link to post
Share on other sites
1 час назад, Туйон сказал:

А существуют вообще какие то тупые ону, которые без веб-интерфейса и прочего, просто как медик грубо говоря?

Без веба есть. Но один чпо она поумнее медика. Что есть хорошо.

Link to post
Share on other sites
4 часа назад, nedoinet сказал:

Без веба есть. Но один чпо она поумнее медика. Что есть хорошо.

А что она умеет без веб-интерфейса?

Я о том, что чем тупее тем меньше варик что подвиснет и меньше варик что с трафиком что-то будет делать.

Например я хочу в многоэтажном секторе сделать так - ону - управляха, зачем мне функции ону тогда?

Link to post
Share on other sites
34 минуты назад, Туйон сказал:

А что она умеет без веб-интерфейса?

Я о том, что чем тупее тем меньше варик что подвиснет и меньше варик что с трафиком что-то будет делать.

Например я хочу в многоэтажном секторе сделать так - ону - управляха, зачем мне функции ону тогда?

Всё равно будут виснуть, не трать время

6 часов назад, Dimkers сказал:

ОНУ != Л1/Л2 онли.

Были ОНУ, которые dhcp реквесты не пропускали. Смена прошивки помогала. По-моему какие-то алткатели из первых...

Так же были ОНУ хпон из относительно свежих, что коверкали dhcp респонсы. Списались с разрабами, те выпустили новую прошивку и полетело.

Но это как бы не нормально.

Может там какой снупинг и тд, но так не должно быть

  • Confused 1
Link to post
Share on other sites
1 час назад, Туйон сказал:

А что она умеет без веб-интерфейса?

Все то же самое что и с вебом, ну возможно окромя быть абонентским роутером( хз, юзал всего пару раз сию возможность).

 

1 час назад, Туйон сказал:

хочу в многоэтажном секторе сделать так - ону - управляха,

В чем проблема? И на тупарях такая схема живет. И на 4-8 портовых онухах. И в частном секторе вместо медюка и за ней гирлянда тупая. А онуха она и однопортовая умеет  вланы, и лупдетект и расскажет как ей живется/сигнал/трипературу, и гиговый порт имеет. И все это гривен этак за 300-350. Скока там гиговый медюк с интегрированым передатчиком стоит? А если под модуль? +Модуль. Ото ж бо.

1 час назад, Туйон сказал:

зачем мне функции ону тогда?

Затем что на одно волокно можно поднавесить народу без паровозинга.

Edited by nedoinet
Link to post
Share on other sites
2 часа назад, Kiano сказал:

Но это как бы не нормально.

Может там какой снупинг и тд, но так не должно быть

Ну да, не должно быть :)

Поэтому прошивкой ОНУ и поправилось )))

Link to post
Share on other sites
В 26.07.2021 в 14:12, gelmas_x сказал:

А можно поподробнее про проблему в прошивке? У абона ONU. Мимо тунеля - всё ОК. Но как только через IPSEC - 10Mbit/s.

У нас была похожая проблема на BDCOM 1501DT, решилась изменением типа подключения. Поменяли ону на медиаконвектор.

Link to post
Share on other sites
В 26.07.2021 в 14:12, gelmas_x сказал:

А можно поподробнее про проблему в прошивке? У абона ONU. Мимо тунеля - всё ОК. Но как только через IPSEC - 10Mbit/s.

Сам в шоке но факт. Сменили ONU (STELS Hardware Version : F680.1A Software Version : V1.2.2) - и всё ОК! Версии той, что стояли не записали (если кому будет интересно - глянем, отпишем).

Link to post
Share on other sites
4 часа назад, Туйон сказал:

Это как? Взяли SFP-корзину, в неё вставили SFP-онушку?

 Просто перепаяли линию и поменяли olt-onu на медиаконвертер-медиаконвертер.

Link to post
Share on other sites
29 минут назад, Belirium сказал:

 Просто перепаяли линию и поменяли olt-onu на медиаконвертер-медиаконвертер.

Это просто умопомпрачительный маневр, если есть свободные волокна с узла.

Link to post
Share on other sites
6 часов назад, gelmas_x сказал:

Сам в шоке но факт. Сменили ONU (STELS Hardware Version : F680.1A Software Version : V1.2.2) - и всё ОК! Версии той, что стояли не записали (если кому будет интересно - глянем, отпишем).

Век живи - век учись. Но факт.

Link to post
Share on other sites

Не знаю может это как то связано но была у нас такая загадка в свое время с Ону Стелс и подобных им Фксгейт и т.д распознаются они примерно так (FD111HZ) если не ошибаюсь версия софта V1.1.2... Так вот тип авторизации который мы юзаем РРРоЕ если сессия подымалась на компе с Windows ОС то биш кабель напрямую в онку или даже через тупарик к примеру после онки то скорость больше 10Мбит не прокачивало все равно с какой скоростью поднят порт в 100Мбит или 1000Мбит , а если после онки стоит Роутер и на нем поднята  РРРоЕ сессия то без проблем хоть 100 хоть 1000. Решалось это если конкретно на стелсах заменой софта на V1.1.4 (его мы отдельно запрашивали ,а штатно все клепают на прошивеV1.1.2 )тогда все работало корректно. Но затем мы на это забили потому как у 99% стоят роутеры и данная проблема не актуальна, а те у кого нет роутера и комп на прямую в онку включен, просто перенастраивается Онка  в режим роутера и все корректно работает на любом софте. Так это я к чему, весь этот спичь. Если у ТС стоит Онка потом кабель напрямую в комп или в свичь и в комп и пытается поднять PPP вот такой глюк и ловит.  

Edited by max_m
Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

  • Similar Content

    • By itsale
      Здравствуйте! Помогите настроить L2TP/IPsec VPN на pfSense. Есть свежеустановленная тестовая машина с pfSense: 2.3.2-RELEASE (i386)   built on Tue Jul 19 13:09:39 CDT 2016  FreeBSD 10.3-RELEASE-p5    WAN IP: 62.216.xx.xx LAN IP (DHCP - disabled): 192.168.1.5   Настраивал по мануалу Логи pfsense: Oct 1 02:03:13 charon 10[NET] <13> received packet: from 89.252.xx.xx[500] to 62.216.xx.xx[500] (408 bytes) Oct 1 02:03:13 charon 10[ENC] <13> parsed ID_PROT request 0 [ SA V V V V V V V V ] Oct 1 02:03:13 charon 10[ENC] <13> received unknown vendor ID: 01:52:8b:bb:c0:06:96:12:18:49:ab:9a:1c:5b:2a:51:00:00:00:01 Oct 1 02:03:13 charon 10[IKE] <13> received MS NT5 ISAKMPOAKLEY vendor ID Oct 1 02:03:13 charon 10[IKE] <13> received NAT-T (RFC 3947) vendor ID Oct 1 02:03:13 charon 10[IKE] <13> received draft-ietf-ipsec-nat-t-ike-02\n vendor ID Oct 1 02:03:13 charon 10[IKE] <13> received FRAGMENTATION vendor ID Oct 1 02:03:13 charon 10[ENC] <13> received unknown vendor ID: fb:1d:e3:cd:f3:41:b7:ea:16:b7:e5:be:08:55:f1:20 Oct 1 02:03:13 charon 10[ENC] <13> received unknown vendor ID: 26:24:4d:38:ed:db:61:b3:17:2a:36:e3:d0:cf:b8:19 Oct 1 02:03:13 charon 10[ENC] <13> received unknown vendor ID: e3:a5:96:6a:76:37:9f:e7:07:22:82:31:e5:ce:86:52 Oct 1 02:03:13 charon 10[IKE] <13> 89.252.xx.xx is initiating a Main Mode IKE_SA Oct 1 02:03:13 charon 10[ENC] <13> generating ID_PROT response 0 [ SA V V V V ] Oct 1 02:03:13 charon 10[NET] <13> sending packet: from 62.216.xx.xx[500] to 89.252.xx.xx[500] (160 bytes) Oct 1 02:03:13 charon 10[NET] <13> received packet: from 89.252.xx.xx[500] to 62.216.xx.xx[500] (388 bytes) Oct 1 02:03:13 charon 10[ENC] <13> parsed ID_PROT request 0 [ KE No NAT-D NAT-D ] Oct 1 02:03:13 charon 10[IKE] <13> remote host is behind NAT Oct 1 02:03:13 charon 10[ENC] <13> generating ID_PROT response 0 [ KE No NAT-D NAT-D ] Oct 1 02:03:13 charon 10[NET] <13> sending packet: from 62.216.xx.xx[500] to 89.252.xx.xx[500] (372 bytes) Oct 1 02:03:13 charon 10[NET] <13> received packet: from 89.252.xx.xx[4500] to 62.216.xx.xx[4500] (76 bytes) Oct 1 02:03:13 charon 10[ENC] <13> parsed ID_PROT request 0 [ ID HASH ] Oct 1 02:03:13 charon 10[CFG] <13> looking for pre-shared key peer configs matching 62.216.xx.xx...89.252.xx.xx[192.168.5.104] Oct 1 02:03:13 charon 10[CFG] <13> selected peer config "con1" Oct 1 02:03:13 charon 10[IKE] <con1|13> IKE_SA con1[13] established between 62.216.xx.xx[62.216.xx.xx]...89.252.xx.xx[192.168.5.104] Oct 1 02:03:13 charon 10[IKE] <con1|13> scheduling reauthentication in 28143s Oct 1 02:03:13 charon 10[IKE] <con1|13> maximum IKE_SA lifetime 28683s Oct 1 02:03:13 charon 10[IKE] <con1|13> DPD not supported by peer, disabled Oct 1 02:03:13 charon 10[ENC] <con1|13> generating ID_PROT response 0 [ ID HASH ] Oct 1 02:03:13 charon 10[NET] <con1|13> sending packet: from 62.216.xx.xx[4500] to 89.252.xx.xx[4500] (76 bytes) Oct 1 02:03:13 charon 15[NET] <con1|13> received packet: from 89.252.xx.xx[4500] to 62.216.xx.xx[4500] (332 bytes) Oct 1 02:03:13 charon 15[ENC] <con1|13> parsed QUICK_MODE request 1 [ HASH SA No ID ID NAT-OA NAT-OA ] Oct 1 02:03:13 charon 15[IKE] <con1|13> received 250000000 lifebytes, configured 0 Oct 1 02:03:13 charon 15[ENC] <con1|13> generating QUICK_MODE response 1 [ HASH SA No ID ID NAT-OA NAT-OA ] Oct 1 02:03:13 charon 15[NET] <con1|13> sending packet: from 62.216.xx.xx[4500] to 89.252.xx.xx[4500] (204 bytes) Oct 1 02:03:13 charon 15[NET] <con1|13> received packet: from 89.252.xx.xx[4500] to 62.216.xx.xx[4500] (60 bytes) Oct 1 02:03:13 charon 15[ENC] <con1|13> parsed QUICK_MODE request 1 [ HASH ] Oct 1 02:03:13 charon 15[IKE] <con1|13> CHILD_SA con1{6} established with SPIs c1421d55_i a0ce5dca_o and TS 62.216.xx.xx/32|/0[udp/l2f] === 89.252.xx.xx/32|/0[udp/l2f] Oct 1 02:03:48 charon 15[NET] <con1|13> received packet: from 89.252.xx.xx[4500] to 62.216.xx.xx[4500] (76 bytes) Oct 1 02:03:48 charon 15[ENC] <con1|13> parsed INFORMATIONAL_V1 request 4256905100 [ HASH D ] Oct 1 02:03:48 charon 15[IKE] <con1|13> received DELETE for ESP CHILD_SA with SPI a0ce5dca Oct 1 02:03:48 charon 15[IKE] <con1|13> closing CHILD_SA con1{6} with SPIs c1421d55_i (756 bytes) a0ce5dca_o (0 bytes) and TS 62.216.xx.xx/32|/0[udp/l2f] === 89.252.xx.xx/32|/0[udp/l2f] Oct 1 02:03:48 charon 05[NET] <con1|13> received packet: from 89.252.xx.xx[4500] to 62.216.xx.xx[4500] (92 bytes) Oct 1 02:03:48 charon 05[ENC] <con1|13> parsed INFORMATIONAL_V1 request 3672929147 [ HASH D ] Oct 1 02:03:48 charon 05[IKE] <con1|13> received DELETE for IKE_SA con1[13] Oct 1 02:03:48 charon 05[IKE] <con1|13> deleting IKE_SA con1[13] between 62.216.xx.xx[62.216.xx.xx]...89.252.xx.xx[192.168.5.104] В винде при подключении ошибка:
      Не удалось установить связь по сети между компьютером и ВПН-сервером, так как удаленный сервер не отвечает. Возможная причина: одно из сетевых устройств не настроено для разрешения ВПН подключений... Роутер перед клиентским ноутбуком 100% пропускает ВПН трафик, так как успешно подключается к другому L2TP/IPsec VPN-серверу.
       
      Подскажите в чем может быть проблема?
×
×
  • Create New...