Перейти до

mikrotik ipsec ike2


Рекомендованные сообщения

Всем привет!

 

Подскажите плиз, если кто пользует ike2 на микроте. Есть задача дать доступ из локальной сети за микротом к некоему хосту в интернет (назовем его HOST_B используя ipsec тунель к промежуточному хосту (назовем его HOST_A):

 

192.168.88.0 -> mikrot <---IPSEC---> HOST_A (NAT) -> HOST_B

 

проблема заключается в крайне низкой и плавающей скорости соединения - порядка 0-10kbit/s!!! (меряю iperf3). При этом если я подымаю тот же туннель ipsec непосредственно с хоста в сети 192.168.88.x к хосту HOST_A, то на участке 192.168.88.x -> HOST_B получаю в iperf порядка 30-400Мбит.

При этом сам микрот тоже находится за натом.

 

Mikrotik RB2011iL


/ip ipsec peer
add address=185.112.xx.xx/32 dh-group=modp2048 enc-algorithm=aes-256 exchange-mode=ike2 generate-policy=port-strict hash-algorithm=sha256 mode-config=request-only my-id=\
    user-fqdn:mikrotik@xxx.com secret=xxxxxxxxxx
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=\
    aes-256-cbc,3des pfs-group=none

/ip firewall nat
add action=accept chain=srcnat dst-address=193.239.xx.xx out-interface=ether1 \
    src-address=192.168.88.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" out-interface=\
    ether1 src-address=192.168.88.0/24
[support@MikroTik] > /ip ipsec policy print
Flags: T - template, X - disabled, D - dynamic, I - invalid, A - active, * - default
 0 T * group=default src-address=::/0 dst-address=::/0 protocol=all proposal=default template=yes

 1  DA  src-address=192.168.88.0/24 src-port=any dst-address=193.239.xx.xx/32 dst-port=any protocol=all action=encrypt level=unique ipsec-protocols=esp tunnel=yes
       sa-src-address=10.1.1.188 sa-dst-address=185.112.xx.xx proposal=default ph2-count=1

[support@MikroTik] > /ip ipsec installed-sa print
Flags: H - hw-aead, A - AH, E - ESP
 0  E spi=0x583B16E src-address=185.112.xx.xx:4500 dst-address=10.1.1.188:4500 state=mature auth-algorithm=sha256 enc-algorithm=aes-cbc enc-key-size=256
      auth-key="a1acb58f11eeb94ae37977c6ff1c6faac5a11eb1f49023657176721b8037b40f" enc-key="4b7f463730d24c56fa3185f286a59d16569985acae674b1fa830ef3df76e15d3"
      addtime=sep/20/2017 13:11:33 expires-in=21m17s add-lifetime=24m20s/30m26s current-bytes=13167 current-packets=104 replay=128

 1  E spi=0xCE422F3B src-address=10.1.1.188:4500 dst-address=185.112.xx.xx:4500 state=mature auth-algorithm=sha256 enc-algorithm=aes-cbc enc-key-size=256
      auth-key="ce12a6b7b09fa5673eada42d6ded1f0389b4c5aaeba01f47146631af12eb9aa5" enc-key="8b92bcca3b6bde7fc30c93c5c61b227a0decddb02e39c1a1d2dbeb19303052c0"
      addtime=sep/20/2017 13:11:33 expires-in=21m17s add-lifetime=24m20s/30m26s current-bytes=10081 current-packets=125 replay=128

HOST_A - FreeBSD11 185.112.xx.xx

conn ikev2-mikrotik
        type=tunnel
        authby=psk
        rekey=no
        keyingtries=1   
        left=%any
        leftsubnet=193.239.xx.xx
        leftid=@vpn.xxxxxxx.com
        rightid=mikrotik@xxxxxxx.com
        rightsubnet=192.168.88.0/24
        auto=start
        ike=aes256-sha256-modp2048
        esp=aes256-sha256-modp2048
        fragmentation=yes
        keyexchange=ikev2

HOST_B - 193.239.xx.xx

 

Прошу прощения за сумбурное описание. Прошу помочь разобраться откуда такая крайне низкая скорость.

Ссылка на сообщение
Поделиться на других сайтах

 

 

При download скорость 3-7Мбит, при этом CPU Load на микротике 30-40%.
 

Это нормально для этого роутера. У него софтверное кодирование.

А вот в обратном направлении - ненормально. А что при этом показывают логи? 

Ну и прошивка какая? 

Тестировали TCP или UDP?

Ссылка на сообщение
Поделиться на других сайтах

 

При download скорость 3-7Мбит, при этом CPU Load на микротике 30-40%.
 

Это нормально для этого роутера. У него софтверное кодирование.

А вот в обратном направлении - ненормально. А что при этом показывают логи? 

Ну и прошивка какая? 

Тестировали TCP или UDP?

 

 

Прошивка последняя 6.40.3, тестировал tcp. Для UDP цифры такие:

UPLOAD
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-30.00  sec  3.75 MBytes  1.05 Mbits/sec  0.000 ms  0/2846 (0%)  sender
[  5]   0.00-30.13  sec   201 KBytes  54.7 Kbits/sec  0.156 ms  2620/2769 (95%)  receiver

DOWNLOAD
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-30.13  sec  3.77 MBytes  1.05 Mbits/sec  0.000 ms  0/2858 (0%)  sender
[  5]   0.00-30.00  sec  3.77 MBytes  1.05 Mbits/sec  0.704 ms  0/2858 (0%)  receiver

95% потерь...

Ссылка на сообщение
Поделиться на других сайтах

дикие дропы однако (95%)... А если без ипсек - дропы пропадают? У знакомого есть 2011 с впн, но там gre+ipsec - вроде как не жаловался, нормально на офис линк работает. Mangle mss попробуйте поставить - https://forum.mikrotik.com/viewtopic.php?t=65733

ps: имею в виду, что у Вас возможно пакеты больше 1500 идут при аплоаде.

Відредаговано BlackVS
Ссылка на сообщение
Поделиться на других сайтах

у меня 2011 ipsec+gre/ipsec+l2tp - 10/10M ikev1

дропы появляются при загрузке проца ближе к 100 и динамике маршрутизации

как вариант меняйте на проще aes-256-cbc,3des; modp2048 enc-algorithm=aes-256; hash-algorithm=sha256

или меняйте на более мощную железку

Відредаговано buryanov
Ссылка на сообщение
Поделиться на других сайтах

Вычитал, что iperf3 в тестах udp по-умолчанию ограничивает полосу пропускания в 1мбит. Выставил в 100Мбит и получил:

 

Шифрование выключено

DOWNLOAD
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-30.11  sec   345 MBytes  96.2 Mbits/sec  0.000 ms  0/12740839 (0%)  sender
[  5]   0.00-30.00  sec   344 MBytes  96.2 Mbits/sec  0.115 ms  12422581/12683622 (98%)  receiver

UPLOAD
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-30.00  sec   358 MBytes   100 Mbits/sec  0.000 ms  0/271338 (0%)  sender
[  5]   0.00-30.34  sec   344 MBytes  95.1 Mbits/sec  0.178 ms  10344/271337 (3.8%)  receiver

Шифрование включено. CPU Load 100% :)

DOWNLOAD
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-31.79  sec   365 MBytes  96.3 Mbits/sec  0.000 ms  0/13626257 (0%)  sender
[  5]   0.00-30.00  sec  93.9 MBytes  26.3 Mbits/sec  0.179 ms  13528805/13600075 (99%)  receiver

UPLOAD
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-30.00  sec   358 MBytes   100 Mbits/sec  0.000 ms  0/271339 (0%)  sender
[  5]   0.00-30.13  sec  12.3 MBytes  3.42 Mbits/sec  1.848 ms  254369/263679 (96%)  receiver

Между теми же хостами но без микрота (и шифрования)

DOWNLOAD
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-30.11  sec   345 MBytes  96.2 Mbits/sec  0.000 ms  0/12662385 (0%)  sender
[  5]   0.00-30.00  sec   344 MBytes  96.2 Mbits/sec  0.114 ms  12341490/12602455 (98%)  receiver

UPLOAD
[ ID] Interval           Transfer     Bitrate         Jitter    Lost/Total Datagrams
[  5]   0.00-30.00  sec   358 MBytes   100 Mbits/sec  0.000 ms  0/271338 (0%)  sender
[  5]   0.00-30.34  sec   344 MBytes  95.1 Mbits/sec  0.170 ms  10360/271338 (3.8%)  receiver

Короче, я так понял с этой железкой получить даже 20-30мбит с ipsec врядли получится. Попробую конечно еще поиграться с tcp-mss и шифроваанием по-проще.

Ссылка на сообщение
Поделиться на других сайтах
/ip firewall mangle
add action=change-mss chain=forward dst-address=193.239.xx.xx new-mss=1350 passthrough=yes protocol=tcp src-address=192.168.88.0/24 tcp-flags=syn tcp-mss=!0-1350

/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des pfs-group=none

ситуация никак не поменялась ((

Ссылка на сообщение
Поделиться на других сайтах

Вычитал, что iperf3 в тестах udp по-умолчанию ограничивает полосу пропускания в 1мбит. Выставил в 100Мбит и получил:

 ....

Короче, я так понял с этой железкой получить даже 20-30мбит с ipsec врядли получится. Попробую конечно еще поиграться с tcp-mss и шифроваанием по-проще.

У нее потолок 20М для aes-128 так как програмное шифрование.

Если из микротиков - смотрите в сторону тех, где аппаратное.

 

https://wiki.mikrotik.com/wiki/Manual:IP/IPsec

Из дешево-сердито rb750gr3 . Но у меня эта железка с самой первой прошивкой нормально не разогналась - положил на полку и забыл.

https://www.mikrotik-club.in.ua/2016/10/26/rb750gr3-pptp-openvpn-perfomance-tests/

Прошло больше года - надо будет снять, обновить и проверить :)

400M - это микротик тестировал свой девайс по udp, aes-128, пакеты 1400 байт без всяких натов и правил.

Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Туйон
      Отличие от обычной SXT5 - гигабитный порт и лицензия 4 уровня (может быть не только бриджом а и точкой доступа).
      Старенькая, АС-стандарт не поддерживает.
      В своё время мегабит 160+ вроде качала.
      Где-то возможно в том же гараже есть вторая такая же, если надо - могу поискать.
      Внешнее состояние нормальное. Чуть пожелтела но трещин и т д нету.
      В комплекте сама точка и хвостик крепления (вставлятся в саму антенну).
      РОЕ где-то в работе до сих пор, но подойдут любые.
      Цена.. пусть для начала будет 1000 грн.
      Проверена в комнате "на коленке", дам время на полноценную поверку, а то мало ли (года два лежала отдыхала).
      Желающие пишите в ЛС.
       
      https://www.technotrade.com.ua/Products/MikroTik_SXT_G_5HnD.php
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in
      Б/в.
      Ціна 5075 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від independent
      Mikrotik rb4011igs+5hacq-2hnd-in б/в.
      Продається в результаті великого енергоспоживання від дбж.
       
      Ціна 6100 грн
       
      https://www.olx.ua/d/uk/obyavlenie/mikrotik-rb4011igs-5hacq2hnd-in-IDWH6Lo.html
    • Від Axel K
      Вітаю!
       
      налаштування capsman
      /caps-man channel add band=2ghz-b/g/n extension-channel=disabled frequency=2412,2437,2462 name=channel1 add band=5ghz-a/n/ac extension-channel=disabled frequency=5180 name=channel5 skip-dfs-channels=yes tx-power=40 /caps-man datapath add bridge=Main client-to-client-forwarding=yes local-forwarding=no name=datapath1 /caps-man configuration add channel=channel1 datapath=datapath1 max-sta-count=20 mode=ap name=cfg1 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 add channel=channel5 datapath=datapath1 hide-ssid=no mode=ap name=cfg5 rx-chains=0,1,2,3 ssid=25 tx-chains=0,1,2,3 /caps-man access-list add action=reject allow-signal-out-of-range=10s disabled=no signal-range=-120..-85 ssid-regexp="" /caps-man manager set enabled=yes /caps-man provisioning add action=create-dynamic-enabled hw-supported-modes=ac master-configuration=cfg5 name-format=prefix-identity add action=create-dynamic-enabled hw-supported-modes=gn master-configuration=cfg1 name-format=prefix-identity проблема у низькій швидкості у клієнта
      якщо включити local-forwarding=yes, клієнт підключається, але не отримує ір.
       
      розумію, що на bdcom не вистачає налаштувань, прошу допомоги.
    • Від viktorrc17
      Підкажіть. Така ситуація.
      Роутер Mikrotik працює від ups.
      Провайдер Київстар.
      При відключенні ел енергії, інтернет працює поки не здохнуть акуми на якомусь з вузлів у провайдера.
      Після включення ел.енергіії, інтернет не працює, допомагає перезавантаження роутера, або оновлення ip адреси.
      Що можна з цим зробити?
×
×
  • Створити нове...