Настройка IPsec
-
This post is deleted! -
@werter нет, Virtio не стал оставлять, т.к. порезалась скорость. Попробую выставить для диска и сети virtio, при этом ещё раз более детально проверю остальное что написано.
-
Но из-за чего он всё-таки может тогда резать download при смене сетевухи на Virtio тогда
-
Выполните все рекомендации + обновите пф. Есть вероятность ,что проблема уйдет.
-
@werter Спасибо за помощь, на днях выполню рекомендации из руководства. Если вдруг что-то не пойдёт, напишу здесь))
-
@Sventer
Бэкап конфига пф + бэкап\снепшот ВМ с пф - обязательны )Зы. Связка Центр + филиалы у меня на Openvpn + OSPF (пакет FRR). Крайне гибкая штука получилась. Рекомендую
-
@werter Это само собой)
-
Вы тоже прочувствовали удобство вирт-ции? Эй, "критики", где вы там ? )
-
@werter Ещё какое удобство)
-
@Sventer
Здр
попробуйте поиграться mss
Сделайте его равным 1360 -
Только сперва определить макс размер MTU. Можно с пом. ping-а
В Win: ping -f -t -l 1472 <адрес-в-удаленной-сети> . И крутить от 1472 в сторону уменьшения, если пинг не пойдет.
-
@werter Ну на 1472 пинг проходит нормально
-
@Sventer
Не совсем понятно , зачем все это )
если mss изначально равен 1400 .Enable MSS clamping on TCP flows over VPN. This helps overcome problems with PMTUD on IPsec VPN links. If left blank, the default value is 1400 bytes.
-
Пинг на удаленный хост за другим пф ?
-
@werter да, на хост, который находится за другим pf
-
@Konstanti said in Настройка IPsec:
Enable MSS clamping on TCP flows over VPN.
ping - ICMP
Бывает, что у провайдера криво настроен MTU. Для этого и проверяли.Придерживаюсь, что проблема может быть в накладных расходах на шифрование\дешифрование трафика.
Если временно сменить тип туннеля на ovpn ssl + вкл. HW AES на пф, если CPU это умеет и проверить?
-
@werter Попробую Ваш совет
-
Причин для падения скорости может быть много
Я бы не грешил на процессор и алгоритмы ширования ( но это мое мнение)
вот замер скорости на туннеле из Москвы до французского сервера на базе IPSEC ( скорость канала 80 мбит/сек) - сервер виртуальный,1 ядерный, 1 Гб ОЗУ
я бы использовал iperf с обеих сторон для проверки скорости
сначала без туннеля , а потом в туннеле
и все-таки выставил mss 1360 для начала
Но при этом , иногда скорость падает значительно
traceroute показывает задержки на одном из европейских узлов
