mikrotik ipsec ike2

ssh911 · 2017-09-20 10:51:51

Всем привет!

Подскажите плиз, если кто пользует ike2 на микроте. Есть задача дать доступ из локальной сети за микротом к некоему хосту в интернет (назовем его HOST_B используя ipsec тунель к промежуточному хосту (назовем его HOST_A):

192.168.88.0 -> mikrot <---IPSEC---> HOST_A (NAT) -> HOST_B

проблема заключается в крайне низкой и плавающей скорости соединения - порядка 0-10kbit/s!!! (меряю iperf3). При этом если я подымаю тот же туннель ipsec непосредственно с хоста в сети 192.168.88.x к хосту HOST_A, то на участке 192.168.88.x -> HOST_B получаю в iperf порядка 30-400Мбит.

При этом сам микрот тоже находится за натом.

Mikrotik RB2011iL

/ip ipsec peer
add address=185.112.xx.xx/32 dh-group=modp2048 enc-algorithm=aes-256 exchange-mode=ike2 generate-policy=port-strict hash-algorithm=sha256 mode-config=request-only my-id=\
    user-fqdn:mikrotik@xxx.com secret=xxxxxxxxxx
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=\
    aes-256-cbc,3des pfs-group=none

/ip firewall nat
add action=accept chain=srcnat dst-address=193.239.xx.xx out-interface=ether1 \
    src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
    ether1 src-address=192.168.88.0/24

[support@MikroTik] > /ip ipsec policy print
Flags: T - template, X - disabled, D - dynamic, I - invalid, A - active, * - default
 0 T * group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes

 1  DA  src-address=192.168.88.0/24 src-port=any dst-address=193.239.xx.xx/32 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes
       sa-src-address=10.1.1.188 sa-dst-address=185.112.xx.xx proposal=default ph2-count=1

[support@MikroTik] > /ip ipsec installed-sa print
Flags: H - hw-aead, A - AH, E - ESP
 0  E spi=0x583B16E src-address=185.112.xx.xx:4500 dst-address=10.1.1.188:4500 state=mature auth-algorithm=sha256 enc-algorithm=aes-cbc enc-key-size=256
      auth-key="a1acb58f11eeb94ae37977c6ff1c6faac5a11eb1f49023657176721b8037b40f" enc-key="4b7f463730d24c56fa3185f286a59d16569985acae674b1fa830ef3df76e15d3"
      addtime=sep/20/2017 13:11:33 expires-in=21m17s add-lifetime=24m20s/30m26s current-bytes=13167 current-packets=104 replay=128

 1  E spi=0xCE422F3B src-address=10.1.1.188:4500 dst-address=185.112.xx.xx:4500 state=mature auth-algorithm=sha256 enc-algorithm=aes-cbc enc-key-size=256
      auth-key="ce12a6b7b09fa5673eada42d6ded1f0389b4c5aaeba01f47146631af12eb9aa5" enc-key="8b92bcca3b6bde7fc30c93c5c61b227a0decddb02e39c1a1d2dbeb19303052c0"
      addtime=sep/20/2017 13:11:33 expires-in=21m17s add-lifetime=24m20s/30m26s current-bytes=10081 current-packets=125 replay=128

HOST_A - FreeBSD11 185.112.xx.xx

conn ikev2-mikrotik
        type=tunnel
        authby=psk
        rekey=no
        keyingtries=1   
        left=%any
        leftsubnet=193.239.xx.xx
        leftid=@vpn.xxxxxxx.com
        rightid=mikrotik@xxxxxxx.com
        rightsubnet=192.168.88.0/24
        auto=start
        ike=aes256-sha256-modp2048
        esp=aes256-sha256-modp2048
        fragmentation=yes
        keyexchange=ikev2

HOST_B - 193.239.xx.xx

Прошу прощения за сумбурное описание. Прошу помочь разобраться откуда такая крайне низкая скорость.

ssh911 · 2017-09-20 11:04:49

Поправочка - это скорость upload.

При download скорость 3-7Мбит, при этом CPU Load на микротике 30-40%.

BlackVS · 2017-09-20 11:40:48

При download скорость 3-7Мбит, при этом CPU Load на микротике 30-40%.

Это нормально для этого роутера. У него софтверное кодирование.

А вот в обратном направлении - ненормально. А что при этом показывают логи?

Ну и прошивка какая?

Тестировали TCP или UDP?

ssh911 · 2017-09-20 12:56:54

При download скорость 3-7Мбит, при этом CPU Load на микротике 30-40%.

Это нормально для этого роутера. У него софтверное кодирование.

А вот в обратном направлении - ненормально. А что при этом показывают логи?

Ну и прошивка какая?

Тестировали TCP или UDP?

Прошивка последняя 6.40.3, тестировал tcp. Для UDP цифры такие:

UPLOAD
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-30.00  sec  3.75 MBytes  1.05 Mbits/sec  0.000 ms  0/2846 (0%)  sender
[  5]   0.00-30.13  sec   201 KBytes  54.7 Kbits/sec  0.156 ms  2620/2769 (95%)  receiver

DOWNLOAD
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-30.13  sec  3.77 MBytes  1.05 Mbits/sec  0.000 ms  0/2858 (0%)  sender
[  5]   0.00-30.00  sec  3.77 MBytes  1.05 Mbits/sec  0.704 ms  0/2858 (0%)  receiver

95% потерь...

BlackVS · 2017-09-20 13:14:44

дикие дропы однако (95%)... А если без ипсек - дропы пропадают? У знакомого есть 2011 с впн, но там gre+ipsec - вроде как не жаловался, нормально на офис линк работает. Mangle mss попробуйте поставить - https://forum.mikrotik.com/viewtopic.php?t=65733

ps: имею в виду, что у Вас возможно пакеты больше 1500 идут при аплоаде.

Відредаговано 2017-09-20 13:53:24 BlackVS

buryanov · 2017-09-20 13:34:59

у меня 2011 ipsec+gre/ipsec+l2tp - 10/10M ikev1

дропы появляются при загрузке проца ближе к 100 и динамике маршрутизации

как вариант меняйте на проще aes-256-cbc,3des; modp2048 enc-algorithm=aes-256; hash-algorithm=sha256

или меняйте на более мощную железку

Відредаговано 2017-09-20 13:42:27 buryanov

ssh911 · 2017-09-20 14:33:33

Вычитал, что iperf3 в тестах udp по-умолчанию ограничивает полосу пропускания в 1мбит. Выставил в 100Мбит и получил:

Шифрование выключено

DOWNLOAD
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-30.11  sec   345 MBytes  96.2 Mbits/sec  0.000 ms  0/12740839 (0%)  sender
[  5]   0.00-30.00  sec   344 MBytes  96.2 Mbits/sec  0.115 ms  12422581/12683622 (98%)  receiver

UPLOAD
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-30.00  sec   358 MBytes   100 Mbits/sec  0.000 ms  0/271338 (0%)  sender
[  5]   0.00-30.34  sec   344 MBytes  95.1 Mbits/sec  0.178 ms  10344/271337 (3.8%)  receiver

Шифрование включено. CPU Load 100%

DOWNLOAD
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-31.79  sec   365 MBytes  96.3 Mbits/sec  0.000 ms  0/13626257 (0%)  sender
[  5]   0.00-30.00  sec  93.9 MBytes  26.3 Mbits/sec  0.179 ms  13528805/13600075 (99%)  receiver

UPLOAD
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-30.00  sec   358 MBytes   100 Mbits/sec  0.000 ms  0/271339 (0%)  sender
[  5]   0.00-30.13  sec  12.3 MBytes  3.42 Mbits/sec  1.848 ms  254369/263679 (96%)  receiver

Между теми же хостами но без микрота (и шифрования)

DOWNLOAD
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-30.11  sec   345 MBytes  96.2 Mbits/sec  0.000 ms  0/12662385 (0%)  sender
[  5]   0.00-30.00  sec   344 MBytes  96.2 Mbits/sec  0.114 ms  12341490/12602455 (98%)  receiver

UPLOAD
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-30.00  sec   358 MBytes   100 Mbits/sec  0.000 ms  0/271338 (0%)  sender
[  5]   0.00-30.34  sec   344 MBytes  95.1 Mbits/sec  0.170 ms  10360/271338 (3.8%)  receiver

Короче, я так понял с этой железкой получить даже 20-30мбит с ipsec врядли получится. Попробую конечно еще поиграться с tcp-mss и шифроваанием по-проще.

ssh911 · 2017-09-20 15:04:52

/ip firewall mangle
add action=change-mss chain=forward dst-address=193.239.xx.xx new-mss=1350 passthrough=yes protocol=tcp src-address=192.168.88.0/24 tcp-flags=syn tcp-mss=!0-1350

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des pfs-group=none

ситуация никак не поменялась ((

BlackVS · 2017-09-20 15:17:46

Вычитал, что iperf3 в тестах udp по-умолчанию ограничивает полосу пропускания в 1мбит. Выставил в 100Мбит и получил:

....

Короче, я так понял с этой железкой получить даже 20-30мбит с ipsec врядли получится. Попробую конечно еще поиграться с tcp-mss и шифроваанием по-проще.

У нее потолок 20М для aes-128 так как програмное шифрование.

Если из микротиков - смотрите в сторону тех, где аппаратное.

https://wiki.mikrotik.com/wiki/Manual:IP/IPsec

Из дешево-сердито rb750gr3 . Но у меня эта железка с самой первой прошивкой нормально не разогналась - положил на полку и забыл.

https://www.mikrotik-club.in.ua/2016/10/26/rb750gr3-pptp-openvpn-perfomance-tests/

Прошло больше года - надо будет снять, обновить и проверить

400M - это микротик тестировал свой девайс по udp, aes-128, пакеты 1400 байт без всяких натов и правил.

Увійти

mikrotik ipsec ike2

Рекомендованные сообщения

ssh911 0

Ссылка на сообщение

Поделиться на других сайтах

ssh911 0

Ссылка на сообщение

Поделиться на других сайтах

BlackVS 35

Ссылка на сообщение

Поделиться на других сайтах

ssh911 0

Ссылка на сообщение

Поделиться на других сайтах

BlackVS 35

Ссылка на сообщение

Поделиться на других сайтах

buryanov 5

Ссылка на сообщение

Поделиться на других сайтах

ssh911 0

Ссылка на сообщение

Поделиться на других сайтах

ssh911 0

Ссылка на сообщение

Поделиться на других сайтах

BlackVS 35

Ссылка на сообщение

Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Создать аккаунт

Вхід

Зараз на сторінці 0 користувачів

Схожий контент

Спільнота

Активність