Ipsec vpn прыгает скорость



  • Собственно есть ipsec vpn туннель между двумя pfsense. MTU и MSS интерфейсов дефолтные. Последнее время стала постоянно прыгать скорость в туннеле. Скорость между внешними интерфейсами в норме.
    При этом если уменьшаю mss все становится нормально. Например

    iperf -c 192.168.2.1 -i 2 -t 50 -m -M 1300
    WARNING: attempt to set TCP maximum segment size to 1300, but got 536
    –----------------------------------------------------------
    Client connecting to 192.168.2.1, TCP port 5001
    TCP window size: 45.0 KByte (default)

    [  3] local 192.168.1.74 port 43218 connected with 192.168.2.1 port 5001
    [ ID] Interval      Transfer    Bandwidth
    [  3]  0.0- 2.0 sec  5.25 MBytes  22.0 Mbits/sec
    [  3]  2.0- 4.0 sec  4.25 MBytes  17.8 Mbits/sec
    [  3]  4.0- 6.0 sec  4.12 MBytes  17.3 Mbits/sec
    …....
    [  3] 44.0-46.0 sec  4.38 MBytes  18.4 Mbits/sec
    [  3] 46.0-48.0 sec  4.38 MBytes  18.4 Mbits/sec
    [  3] 48.0-50.0 sec  4.12 MBytes  17.3 Mbits/sec
    [  3]  0.0-50.0 sec  106 MBytes  17.8 Mbits/sec
    [  3] MSS size 1288 bytes (MTU 1328 bytes, unknown interface)

    а с дефолтом

    iperf -c 192.168.2.1 -i 2 -t 5 -m
    –----------------------------------------------------------
    Client connecting to 192.168.2.1, TCP port 5001
    TCP window size: 85.0 KByte (default)

    [  3] local 192.168.1.74 port 43204 connected with 192.168.2.1 port 5001
    [ ID] Interval      Transfer    Bandwidth
    [  3]  0.0- 2.0 sec  1.62 MBytes  6.82 Mbits/sec
    [  3]  2.0- 4.0 sec  1.88 MBytes  7.86 Mbits/sec
    [  3]  4.0- 6.0 sec  0.00 Bytes  0.00 bits/sec
    [  3]  0.0- 6.9 sec  3.62 MBytes  4.43 Mbits/sec
    [  3] MSS size 1448 bytes (MTU 1500 bytes, ethernet)



  • Как вариант по пути прохождения трафика из А в Б на оборудовании провайдера (-ов) что-то изменилось.
    Или удалите туннель и создайте заново.

    Версии пф на концах - одинаковые ?



  • @werter:

    Как вариант по пути прохождения трафика из А в Б на оборудовании провайдера (-ов) что-то изменилось.
    Или удалите туннель и создайте заново.

    Версии пф на концах - одинаковые ?

    Версии одинаковые.
    Да я понимаю, что дело в оборудовании провайдера. Уже один раз сталкивался с таким. Правда тогда на цисках и GRE делал. А дружественные отношения с провайдером позволили поигравшись с MTU на их оборудовании вопрос решить. Тут же провайдер поменял сгоревшее оборудование и мы моментально словили текущие проблемы. Техподдержка непробиваемая - "у нас все хорошо, настраивайте у себя". Плюс  второй такой же туннель с другой точкой работает без нареканий.
    А пересоздать то можно. Но, как я понимаю, это будет просто очистка и и создание заново такого-же конфига для racoon, какой смысл то от этого?

    Я бы просто поменял размер MSS в настройках IPSec VPN, но, блин, не нахожу вообще ничего подобного в настройках.



  • https://doc.pfsense.org/index.php/Advanced_IPsec_Settings

    Или исп. OpenVPN. В нем можно настраивать то, что Вам надо.


Log in to reply