Latenza su VPN IpSec
-
Ciao a tutti,
ho due clienti con pfsense 1.2.3 per entrambi ho realizzato una vpn ipsec site to site ed in entrambi i casi ho riscontrato delle cose anomale, la più grossa è che l'http attraverso la vpn risulta tremendamente rallentato.
Mi spiego meglio:
Nella sede A ho un webserver su cui gira una intranet aziendale, se raggiungo la intranet attraverso internet ho una certa velocità nella risposta da parte del server mentre se raggiungo la intranet passando tramite il tunnel vpn riscontro una lentezza assurda.
In entrambi i casi avrei dovuto avere traffico VPN intrasede ma anche qui le prestazioni degradano a tal punto da rendere impossibile il passaggio di più di 1 telefonataIl problema non sembra essere di saturazione della banda ma di latenza e perdita pacchetti, qualcuno ha riscontrato lo stesso problema o ha idea di cosa possa esserci che non va o che va ottimizzato?
Le macchine su cui faccio girare pfsense sono equipaggiate con processore VIA C7 1.0 GHz ULV,1 Gb di ram e hdd sata
Le connessioni wan su cui ho configurato le vpn site ti site hanno le seguenti caratteristiche:
Caso 1
HDSL 4 mbps <-> HDSL 2 mbpsCaso 2
ADSL 24/1 mbps <-> ADSL 12/1 mbpsGrazie
-
Di sicuro se richiedi la pagina web direttamente dal web dovrebbe essere più veloce che richiederla dalla vpn in quanto bisogna aggiungere la crittazione e decrittazione dei dati nonchè la scrittura dei pacchetti.
Forse è un problema di cpu che non ce la fa.
Prova a richiedere una pagina web semplice con solo poco testo.
Che risultati hai?
Dovresti vedere l'occupazione della cpu durante le richieste http via vpn almeno per capire se sia la cpu che non ce la fa. -
Ciao,
grazie per la risposta.
Purtroppo non ho alternative, il traffico per motivi vari deve passare in vpn.
In questi giorni ho fatto altri test, il problema non è di processore, anzi ho scoperto che nel VIA C7 è presente un modulo chiamato padlock preposto solo ai calcoli criptografici.
Durante le connessioni vpn l'utilizzo del processore è intorno al 18%
Rimane il fatto che continuo ad avere dei ritardi mostruosi e non so più a cosa pensare e cosa provare.
Ciao -
Può essere anche un problema di collisioni di pacchetti, di route…etc, molto probabilmente può anche essere il traffic shaper che crea problemi quindi prova a disabilitarlo.
Prova a fare una prova semplice e cioè metti in condivisione un cartella di windows ci metti dentro un file grosso. Fai partire il trasferimento e tramite un analizzatore di rete controlla la banda massima che hai... -
Ciao,
il trsffic shaper può ssere escluso, l'ho disabilitato e non è cambiato nulla.
Non avevo pensato alle collisioni o a problemi di routing. Secondo te abilitare il RIP potrebbe aiutare ad eliminare eventuali problemi di routing?L'altra prova che suggerisci l'ho fatta in varie condizioni, ora ho scoperto che nel caso in cui ho un upload anche di dimensioni ridotte da uno dal server web della sede 1 (upload verso internet e non verso la VPN), decadono drasticamente le prestazioni sulla VPN tra la sede 1 e la sede 2.
In particolare il ping dalla sede 2 alla sede 1 passa dai 22ms di ritardo a 300ms ed anche più.Ora che in caso di utilizzo della banda anche per altri servizi crei concorrenza e quindi le prestazioni su riducono è un po'la scoperta dell'acqua calda ma comunque il degrado delle prestazioni mi sembra elevato.
Ciao e Grazie