Скорость в тоннеле IPsec site-2-site

[AnDrEyKa_111]

Есть две точки с белыми IP. На одной точке инет 100Мбит, на второй - 50 Мбит. На них стоят два Speedster (KN-3010) с настроенными тоннелями IPsec. Как ни игрался с настройками, но получить скорость выше ~10Мбит в тоннеле не могу. При этом обещанная тарифом скорость похожа на правду на обоих точках (проверял торрентами). Связь между двумя точками тоже соответствует ожиданиям в 50Мбит (проверял пробросом портов на компы внутрь сетей и скачиванием больших файлов по SMB). При этом если те же большие файлы с тех же компов кидать через тоннель, а не через открытые порты напрямую, то скорость будет порядка 10Мбит. 

Параметры тоннеля:

Фаза 1: AES-128, SHA1, DH-1 (было так же AES-128, SHA256, DH-1)

Фаза 2: CHACHA20-POLY1305, DH-5 (это из советов на данном форуме, до попыток оптимизации было AES-128, SHA256, DH-5)

По моим представлениям, чипсет Спидстеров должен давать по крайней мере сотню-другую в тоннеле. Или мои ожидания были завышены? Или я делаю что-то не так?

 

[Le ecureuil]

Site-to-Site точно не 10 Мбит должен быть, а выше. Чем меряете?

[AnDrEyKa_111]

Только что, Le ecureuil сказал:

Site-to-Site точно не 10 Мбит должен быть, а выше. Чем меряете?

Выше описывал: перекидываю относительно большой файл по SMB (сетевые шары) через тоннель. Тот же файл между теми же компами, но через проброс портов, а не через тоннель, летит со скоростью тарифа провайдера. 

[Le ecureuil]

Провайдер не режет IPsec? А если между ПК поднять и проверить? Ну или через wireguard соединить, если нет возможности поднять IPsec на другом устройстве.

[AnDrEyKa_111]

11 минуту назад, Le ecureuil сказал:

Провайдер не режет IPsec? А если между ПК поднять и проверить? Ну или через wireguard соединить, если нет возможности поднять IPsec на другом устройстве.

Ну вот я и пытаюсь нити причину - провайдер утверждает, что у него никаких преград нет. Скорость между узлами напрямую - проверил. Сколько IPsec может переварить Спидстер я так и не смог найти в каких-либо характеристиках, описаниях или отзывах, но предполагаю, что порядка 200-300Мбит должен уметь. Но насколько мои предположения близки к истине? И в каком месте между этими двумя точками мне искать то самое узкое место? В слабости аппаратуры роутера? В тонкостях настройки тоннелей? Или выводить провайдера на чистую воду?

Изменено 9 августа, 2021 пользователем AnDrEyKa_111

[Le ecureuil]

Без проверки на wireguard все это бесполезное гадание.

[AnDrEyKa_111]

4 часа назад, Le ecureuil сказал:

Без проверки на wireguard все это бесполезное гадание.

Настроил WireGuard site-to-site - полетело на нормальных 50Мбит. Тогда что не так с IPsec?

[stefbarinov]

Не пробовали из второй фазы убрать вообще группу DH?

[Le ecureuil]

18 часов назад, AnDrEyKa_111 сказал:

Настроил WireGuard site-to-site - полетело на нормальных 50Мбит. Тогда что не так с IPsec?

Пока могу предположить провайдера

Скиньте self-test с обоих устройств когда копируется по IPsec большой файл и низкая скорость.

[AnDrEyKa_111]

2 часа назад, Le ecureuil сказал:

Пока могу предположить провайдера

Скиньте self-test с обоих устройств когда копируется по IPsec большой файл и низкая скорость.

Там какие-то определённые разделы интересны? Целиком не хотелось бы на всеобщее обозрение выкладывать. Пусть паролей и тп там и нет, но тем не менее...

[stefbarinov]

4 минуты назад, AnDrEyKa_111 сказал:

Там какие-то определённые разделы интересны? Целиком не хотелось бы на всеобщее обозрение выкладывать. Пусть паролей и тп там и нет, но тем не менее...

https://forum.keenetic.net/announcement/4-как-правильно-добавить-self-test-и-прочую-отладку-в-тему/

[Le ecureuil]

4 часа назад, AnDrEyKa_111 сказал:

Там какие-то определённые разделы интересны? Целиком не хотелось бы на всеобщее обозрение выкладывать. Пусть паролей и тп там и нет, но тем не менее...

Таки в поддержку тогда почему бы не пойти?

[Migel]

Чем в итоге дело кончилось?

Иногда наблюдается тоже самое на KN-1010

[AnDrEyKa_111]

14 часа назад, Migel сказал:

Чем в итоге дело кончилось?

 

Обращался в поддержку, их советы к радикальным изменениям не привели. В итоге оставил тоннель WireGuard - в нём скорость нормальная

[stefbarinov]

Бывает ещё BRAS провайдера на стыке режет скорость. Была подобная проблема, решилась сменой провайдера))

[SySOPik]

В 07.03.2022 в 11:19, AnDrEyKa_111 сказал:

Обращался в поддержку, их советы к радикальным изменениям не привели. 

Если кинетики бюджетные на 7628, то там да, IP-Sec чуть больше 10 мегабит идет

В 07.03.2022 в 11:19, AnDrEyKa_111 сказал:

В итоге оставил тоннель WireGuard - в нём скорость нормальная

Ну если до 32 пира то норм, у кого больше клиентов то WG не прокатит.

[AnDrEyKa_111]

В 06.04.2022 в 15:10, SySOPik сказал:

Если кинетики бюджетные на 7628, то там да, IP-Sec чуть больше 10 мегабит идет

Спидстер, не знаю чо там у него, но по идее его чахлым не назовёшь

 

В 06.04.2022 в 15:10, SySOPik сказал:

Ну если до 32 пира то норм, у кого больше клиентов то WG не прокатит.

Речь идёт про ОДИН тоннель site-to-site

[SySOPik]

1 час назад, AnDrEyKa_111 сказал:

Спидстер, не знаю чо там у него

Ну там 2/4 ядерник, там все повеселее.

1 час назад, AnDrEyKa_111 сказал:

ОДИН тоннель site-to-site

Один туннель WG в любом случае интересно. У меня туннелей больше 32, так что я WG не рассматриваю.

[loginella]

9 часов назад, AnDrEyKa_111 сказал:

Спидстер, не знаю чо там у него,

https://keenetic.ru/ru/keenetic-speedster