странное поведение firewall на ipsec-gre туннеле
-
@gmn:
И еще по сути вопроса.
А не буфера ли винды виноваты в этом?В первом посте есть картинка- где видно как ведет себя копирования файла без ipsec по тому же туннелю между теми же серверами
Прям вот самая верхняя, так и подписана- GRE tunnel performance WITHOUT IPSec.png это результат передачи файла 1,7 Гб
Так что тут проблема не в win![GRE tunnel performance WITHOUT IPSec.png](/public/imported_attachments/1/GRE tunnel performance WITHOUT IPSec.png)
![GRE tunnel performance WITHOUT IPSec.png_thumb](/public/imported_attachments/1/GRE tunnel performance WITHOUT IPSec.png_thumb) -
Провел тест.
Две виртуальных сети на свичах vmware.
Объединены через ipsec-туннель между FreeBSD и pfsense.
На FreeBSD работает altq и полоса лимитирована в 10 Мбит/с - это ответ на будущий вопрос "почему скорость такая маленькая".
Со стороны FreeBSD в локалке Windows Server 2008. С этого хоста качается файл размером 1,1 Гбайт.
В другой стороны туннеля за pfsense Windows XP.
Ниже "картинка" загрузки интерфейса (интерфейсы на виртуальных машинах гигабитные). Никаких скачков, замираний и т.п.
traf2.jpg - это отдача файла с Server 2012R2 на хост с WinXP в другой сети через ipsec-туннель.
ipsec.jpg - параметры второй фазы туннеля.
-
@gmn:
Провел тест.
Ниже "картинка" загрузки интерфейса (интерфейсы на виртуальных машинах гигабитные). Никаких скачков, замираний и т.п.Уточните пожалуйста, IPSec в режиме каком настроен, тунель или транспорт? gif интерфейс используется?
Ну и какбэ я не сомневаюсь что работать должно нормально, я именно поэтому и прошу помощи- чтобы понять где misconfiguration случился
-
type=tunnel
gif-ов нет.
Используется с обоих сторон strongswan (на pfsense тоже strongswan). -
@gmn:
type=tunnel
gif-ов нет.Я так и думал
Ну то есть вы задали вопрос, ответ на который содержался в стартовом топике
Потом смоделировали ситуацию, которая ничуть не похожа на мою (за исключением слов pfsense и ipsec). И подтвердили очевидный вроде бы факт: в стандартной конфигурации все работает.
Из уважения к потраченному времени можете намекнуть, как ваши действия могут помочь решить мою проблему? -
ок.
А зачем вам там gif, если вы всеравно поднимаете ipsec? -
у меня со стороны Циски развернута DMVPN сеть с переменным количеством офисов. (сейчас штук 15)
И для каждого сеть за pfsense доступна должна быть- мне проще всем раздавать маршрут до нее и поднять OSPF какой нибудь, чем ручками редактировать параметры туннеля (а на циске тоже прийдется тогда access list править при появлении нового офиса)
А чтоб маршрутизация работала- надо какой- то интерфейс отдельный, то есть gif -
Ясно.
Схемка сложнее …
Тогда сходу ничего подсказать не смогу.
И моделировать тоже нет желания :) -
Я бы посмотрел количество states и MBUF usage в Dashboard pfSense в момент затыков. Памяти хватает вообще?
-
Я бы посмотрел количество states и MBUF usage в Dashboard pfSense в момент затыков. Памяти хватает вообще?
Я в том же направлении начал копать, но увы- в скриншотах видно что и states и MBUF и memory хватает
-
https://forum.pfsense.org/index.php?topic=98308.0
Вот кто-то тему открыл в англ. разделе. Посмотрите, что ему ответят. А можете и свои скрины туда запостить, там быстрее ответят.
-
Интересно стало, захотел повторить :)
Сделал схему на подобии вашей, только на другой стороне туннеля FreeBSD, не Cisco.
В итоге с одной стороны сеть со шлюзом на FreeBSD, с другой - сеть со шлюзом на pfsense.
Между шлюзами поднят gre-туннель.
Между сетями поднят IPsec (поверх gre).
Копирую файл 800 Мб (скорость лимитирована altq до 10 Мбит/с) - замираний, задержек небыло.
Все это на виртуалках под wmvare esxi в пределах одного физического хоста (Cisco UCS). -
Вот ведь времени у людей, завидую :)
ограничение 100Мбит поставь (у меня столько), и желательно не средства pfsense-для чистоты эксперимента
ну и если затыков не будет- прошу тогда те же параметры ipsec поставить -
Времени - иногда бывает :)
На pfsense лимита скорости нет.
Есть на другой стороне на FreeBSD.
Не думаю, что шейпер "исправляет" ситуацию …прошу тогда те же параметры ipsec поставить
- вот это не понял …
Параметры ipsec:
AES_CBC:256 HMAC_SHA1_96:0 PRF_HMAC_SHA1 MODP_1024
Городить такую схему с Cisco на другой стороне - вот на это уже времени нет :(
- вот это не понял …
-
ну тогда поставить на шейкере с той стороны 100Мб
по поводу параметров- 3DES+MD5 -
Поставил 3DES+MD5
Шейпер был и 10 Мбит и 100.
Картинка на 10.
Скорость не менялась, скачивание не замирало.