Настройка IPsec
-
Добрый день! Имеется настроенный канал. Проблема в том, что с одной стороны режется скорость передачи в несколько раз. Подскажите, в какую сторону смотреть и отчего это может зависеть.
-
Добрый.
Версия пф? На чем развернут? Флоатинг рулез не правили? Проблема может быть в накладных расходах на шифрование\дешифрование трафика. Не уверен ,что ipsec умеет aes-gcm как Openvpn.Правила fw - в студию
-
@werter Версия на одном 2.4.4, на втором 2.1.4. Развернут на Proxmox. В fw для IPsec для связки стоит разрешать всё по всем
-
@Sventer said in Настройка IPsec:
Развернут на Proxmox.
Выполнены все пункты из https://docs.netgate.com/pfsense/en/latest/virtualization/virtualizing-pfsense-with-proxmox.html ?
"Configuring pfSense Software to work with Proxmox VirtIO" в частности. -
@werter касаемо Virtio. Сам диск вообще висит на ide. А касаемо сетевой, пробую выставить virtiо, после этого он у меня download режет до 1МБ, а upload наоборот становится намного выше. С чем же это связано тогда?
-
на втором 2.1.4
Это оч плохо. Надо обновить. Слишком много изменений. Иначе будете решать проблемы, к-ые давно решены в свежей версии.
Сам диск вообще висит на ide.
Зачем ide? Пф 2.4 умеет virtio scsi + DISCARD. И с сетевыми virtio он прекрасно работает.
Еще раз. Пункт "Configuring pfSense Software to work with Proxmox VirtIO" выполнен?
У не один PVE + пф в нем. Проблем особых нет.
-
This post is deleted! -
@werter нет, Virtio не стал оставлять, т.к. порезалась скорость. Попробую выставить для диска и сети virtio, при этом ещё раз более детально проверю остальное что написано.
-
Но из-за чего он всё-таки может тогда резать download при смене сетевухи на Virtio тогда
-
Выполните все рекомендации + обновите пф. Есть вероятность ,что проблема уйдет.
-
@werter Спасибо за помощь, на днях выполню рекомендации из руководства. Если вдруг что-то не пойдёт, напишу здесь))
-
@Sventer
Бэкап конфига пф + бэкап\снепшот ВМ с пф - обязательны )Зы. Связка Центр + филиалы у меня на Openvpn + OSPF (пакет FRR). Крайне гибкая штука получилась. Рекомендую
-
@werter Это само собой)
-
Вы тоже прочувствовали удобство вирт-ции? Эй, "критики", где вы там ? )
-
@werter Ещё какое удобство)
-
@Sventer
Здр
попробуйте поиграться mss
Сделайте его равным 1360 -
Только сперва определить макс размер MTU. Можно с пом. ping-а
В Win: ping -f -t -l 1472 <адрес-в-удаленной-сети> . И крутить от 1472 в сторону уменьшения, если пинг не пойдет.
-
@werter Ну на 1472 пинг проходит нормально
-
@Sventer
Не совсем понятно , зачем все это )
если mss изначально равен 1400 .Enable MSS clamping on TCP flows over VPN. This helps overcome problems with PMTUD on IPsec VPN links. If left blank, the default value is 1400 bytes.
-
Пинг на удаленный хост за другим пф ?
