Странные фризы на IPSEC VPN

[CBLoner]

Есть два разных IPSEC канала:

1. ULTRA II - ULTRA II (на текщий момент один и тот же последний 12й DRAFT, IP белые)

2. ULTRA II - NetGear FVS318 (12й DRAFT, IP белые)

Суть проблемы: админю компы через Teamviewer и Radmin 3.4. Доступ и там и там по локальным IP. В процессе работы, где-то раз в минуту, канал замирает, связь не обрывается, но жму на клавиши и мышь ноль реакции. Потом через 3-10 секунд, как будто отлипает и продолжаю работать - через минуту опять повтор. Думал глюк, открыл Word и нажал на букву, побежал автоповтор, бац... провал секунд на 10, потом опять побежала буковка по документу.

Если через внешний IP прокидывать порт, для Radmin, то пауз совсем не наблюдается! Ошибок в журнале нет! Но и комфортной работы нет!

ЧаВо это может быть такое?

[Le ecureuil]

Включен ли crypto engine hardware? Если можно, то неплохо бы включить system debug (Отладочный режим) и снять self-test сразу после "фризов".

[CBLoner]

Извиняюсь за вопрос, но где это посмотреть?

И self-test врубать сразу как отвиснет или сначала запустить и тормознуть секунд через 30 после "отлипания". Трудно будет Отплит - побежал - включил....

[CBLoner]

Вот настройки IPSEC и селф тесты.

В одном сразу снял после залипания. В другом пока все работает, а потом два раза залипало.

crypto engine hardware - это используется ли шифрование в туннеле? 

2016-12-12___До-фриза-включая-2-зависания_self-test.txt

2016-12-12___Сразу-после-фриза_self-test.txt

[CBLoner]

Есть предположения? Жить конечно можно, но комфорту мало ((


Отправлено с моего iPad используя Tapatalk

[CBLoner]

Умерла тема? Ни подскажет никто? Работать можно, но раз в минуту зависоны секунд на 5-10 слегка отмораживают!

ХЭЛП! 

[Le ecureuil]

10 часов назад, cbloner сказал:

Умерла тема? Ни подскажет никто? Работать можно, но раз в минуту зависоны секунд на 5-10 слегка отмораживают!

ХЭЛП! 

Не можем воспроизвести вашу ситауцию, нужно больше данных. И ждем еще обращений от пользователей.

[CBLoner]

Может я смогу предоставить еще больше данных... готов поснимать дампы и все такое...

Просто у меня как минимум мой ULTRA2 и у клиентов таких же  штуки. Сейчас у еще одного будет +1.

Интернет у всех разный, а ситуация одинаковая. Боюсь что такое не все заметят... я всегда любил находить специфические фичи! 

[Le ecureuil]

49 минут назад, cbloner сказал:

Может я смогу предоставить еще больше данных... готов поснимать дампы и все такое...

Просто у меня как минимум мой ULTRA2 и у клиентов таких же  штуки. Сейчас у еще одного будет +1.

Интернет у всех разный, а ситуация одинаковая. Боюсь что такое не все заметят... я всегда любил находить специфические фичи! 

Можете проверить на самой свежей 2.07?

[CBLoner]

Вечером попробую... когда все по домам уйдут. Нулить надо с 2.08 или пережует конфу туда сюда!?

[Le ecureuil]

1 минуту назад, cbloner сказал:

Вечером попробую... когда все по домам уйдут. Нулить надо с 2.08 или пережует конфу туда сюда!?

По идее ничего сломаться не должно.

[CBLoner]

Ок, все проверю отпишусь!

[CBLoner]

    1. Мой ULTRA2 v2.07(AAUX.5)C3 (Сторона "А", 192.168.10.0/24) -> Клиент ULTRA2 v2.08(AAUX.4)A12 (Сторона "Б", 192.168.15.0/24)
        IPSEC VPN (Phase 1 - DES/MD5/DH-1 [IKEv1, 86400, MainMode], Phase 2 - DES/MD5/DH-1 [Tunnel, SA 28800])
            а) Из сети, 192.168.10.1 -> 192.168.15.6 (Через Тунель)
                TeamViewer 12    -    фризы каждые 40-45 секунд, с паузой 3-7 секунд;
                Radmin 3.4        -    фризы каждые 40-45 секунд, с паузой 3-7 секунд;
            б) Из сети, 192.168.10.1 -> 213.*.*.* пробросив порт 4899 (radmin) и 5938 (TeamViwer) на 192.168.15.6
                TeamViewer 12    -    фризы отсутствуют;
                Radmin 3.4        -    фризы отсутствуют;
                
    2. Заменил прошивку на Стороне "Б" на v2.07(AAUX.5)C3
        IPSEC VPN (Phase 1 - DES/MD5/DH-1 [IKEv1, 86400, MainMode], Phase 2 - DES/MD5/DH-1 [Tunnel, SA 28800])
            а) Из сети, 192.168.10.1 -> 192.168.15.6 (Через Тунель)
                TeamViewer 12    -    фризы отсутствуют;
                Radmin 3.4        -    фризы отсутствуют;
            б) Из сети, 192.168.10.1 -> 213.*.*.* пробросив порт 4899 (radmin) и 5938 (TeamViwer) на 192.168.15.6
                TeamViewer 12    -    фризы отсутствуют;
                Radmin 3.4        -    фризы отсутствуют;
                
    3. Заменил прошивку на Стороне "А" и "Б" на v2.08(AAUX.4)A12
        IPSEC VPN (Phase 1 - DES/MD5/DH-1 [IKEv1, 86400, MainMode], Phase 2 - DES/MD5/DH-1 [Tunnel, SA 28800])
            а) Из сети, 192.168.10.1 -> 192.168.15.6 (Через Тунель)
                TeamViewer 12    -    фризы каждые 40-55 секунд, с паузой 3-7 секунд;
                Radmin 3.4        -    фризы каждые 40-55 секунд, с паузой 3-7 секунд;
            б) Из сети, 192.168.10.1 -> 213.*.*.* пробросив порт 4899 (radmin) и 5938 (TeamViwer) на 192.168.15.6
                TeamViewer 12    -    фризы отсутствуют;
                Radmin 3.4        -    фризы отсутствуют;
                
    
    Тестировал следующим образом: открывал удаленное управление, потом пустой Word файл и зажимал буковку. Она бежит бежит... А потом бац... все замирает
    в это время ни на что нажать нельзя, а потом отлипнет и бежит дальше, так визуально, учитывая неизвестность причины, проще всего поймать "фриз".
    
    IP у всех белые, провайдеры разные.

Получается на стабильных прошивках роде все ок... а тут непонятно куда копать! А пяток туннелей и прочие штуки ой как надо!

Изменено 22 декабря, 2016 пользователем cbloner
орфография

[CBLoner]

Есть смысл тестить на 2.09? Она стабильна? А то всю работу повалить боюсь!


Отправлено с моего iPad используя Tapatalk

[CBLoner]

Обновил свой на последнюю 2.09. Клиента не трогал. Фризы остались.... Ужас какой-то.... можно понять из-за чего они вылетают?

[KorDen]

Может немного глупое предложение.. Но зачем вам DES/MD5, при двух ультрах? AES-128/SHA1 прекрасно ускоряется аппаратно и с ними лично у меня фризов не замечалось, кроме как при пересогласовании.

[CBLoner]

@KorDen MD5 и SHA это хэши генерируются. А вот что конкретно аппаратно кодирует Keenetic? DES, 3DES, AES-128 или AES-256?

Там что-то типа отдельного чипа/сопроцессора или как-то ядро под это заточено? Реально быстрее быстрее шифрует?

Завтра попробую в связке AES-128/SHA1 - Отпишусь?

А кстати, минимальная потеря пропускной способности канала при каком шифровании? Ну кроме никакого! 

[r13]

21 минуту назад, cbloner сказал:

@KorDen MD5 и SHA это хэши генерируются. А вот что конкретно аппаратно кодирует Keenetic? DES, 3DES, AES-128 или AES-256?

Там что-то типа отдельного чипа/сопроцессора или как-то ядро под это заточено? Реально быстрее быстрее шифрует?

Завтра попробую в связке AES-128/SHA1 - Отпишусь?

А кстати, минимальная потеря пропускной способности канала при каком шифровании? Ну кроме никакого! 

Там отдельный блок процессора аппаратно шифрует и хешы считает

Если обрабатывается им то это и будет минимальная потеря пропускной способности. Разница в производительности для разных алгоритмов шифрования в пределах погрешности. 

В cli включается crypto engine hardware

[CBLoner]

Я имел ввиду, что шифрование добавляет некоторую порцию служебной информации... НУ скажем БАЗА + 2% на обертку шифрования. Итого 2-3% от ширины канала на шифрование. Вот хотел узнать, какой алгоритм, какой аппетит имеет!

Только через CLI включается? Из веба убрали?

[CBLoner]

crypto engine hardware включен

Попробовал на SHA1/AES-128 все равно спотыкается раз в 30-40 секунд.... Чё делать.... на 2.07 такого нет!

P.S. А MD5/DES он что, аппаратно не шифрует?

[KorDen]

@cbloner шифрует и MD5/DES, я немного спутал (мне казалось, что EIP умеет только 3DES/AES/SHA), вот:

В 27.08.2016 в 23:42, Le ecureuil сказал:

Есть две версии crypto engine.

Первая: EIP93. Этот блок умеет DES/3DES/AES CBC в сочетании с HMAC MD5/SHA1/SHA256 за один проход (то есть IPsec пакет обрабатывается целиком за одни такт). Этот блок стоит в RT6856 и в MT7621.

Вторая: AES Crypto engine. Этот блок умеет только AES ECB/CBC, и все. Этот блок стоит в MT7628.

EIP93 стоит в Keenetic II, Giga II, Ultra и поддерживается в 2.06. По скорости - в идеале можно выжать до 170-200 Мбит/сек, от типа шифра и хэширования не зависит (на Keenetic II будет 100 Мбит/с).

EIP93 стоит в Giga III, Ultra II и поддерживается в 2.07 и 2.08. По скорости - в идеале можно выжать до 330 Мбит/сек, от типа шифра и хэширования не зависит.

AES Crypto engine стоит в Start II, Lite III rev. B и 4G rev. B и поддерживается в 2.07 и 2.08.  По скорости - в идеале можно выжать до 65-70 Мбит/сек, плюс зависит от типа хэширования, которое всегда выполняется программно.

 

Могу сильно ошибаться, но вроде бы шифрование на процент служебных данных не влияет. Т.е. в пакете есть фрагмент IPsec, и есть данные. Зашифрованы они (и как) или нет - не важно.

[r13]

1 час назад, cbloner сказал:

Я имел ввиду, что шифрование добавляет некоторую порцию служебной информации... НУ скажем БАЗА + 2% на обертку шифрования. Итого 2-3% от ширины канала на шифрование. Вот хотел узнать, какой алгоритм, какой аппетит имеет!

Только через CLI включается? Из веба убрали?

В вебе никогда не было этой настройки. 

http://www.cisco.com/c/en/us/support/web/redirects/ipsec-overhead-calc.html (требуется регистрация)

Изменено 5 января, 2017 пользователем r13

[CBLoner]

@KorDen ну что-то из служебки он все равно добавит. Скажем шифруем один мегабайт, все равно ведь на сколько-то общий трафик вырастет? Или совсем незначительно?

Я вспомнил что не было, сам полез в конфу смотреть

Так откуда залипончики такие... не могу прям понять... а так с ними гадко админить! Каждые пол минуты сек на 10 зависаешь... жутко аж!


Отправлено с моего iPad используя Tapatalk

[r13]

Как "извращенец" запустивший трансляцию IPTV через IPSEC туннель через интернет могу сказать что никаких фризов картинки нет, даже в hd

 

Изменено 16 января, 2017 пользователем r13

[CBLoner]

Беда в том, что есть второй клиент с ультрой2 и там такой же тоннель, тоже белый IP и даже намёка нет на фриз!!!
Разница в провайдера и подсети IP! Даже перед ультрой в двух местах стоит zyxel es-2108g, на котором только включена функция ограничения скорости порта! У них даже прошивки одинаковые!
Ругаться с провайдером!? Ну нужна хоть какая зацепка, что это такое может быть в сети Ростелекома!?
Вот башку уже сломал!


Отправлено с моего iPad используя Tapatalk

[Le ecureuil]

12 часа назад, cbloner сказал:

Беда в том, что есть второй клиент с ультрой2 и там такой же тоннель, тоже белый IP и даже намёка нет на фриз!!!
Разница в провайдера и подсети IP! Даже перед ультрой в двух местах стоит zyxel es-2108g, на котором только включена функция ограничения скорости порта! У них даже прошивки одинаковые!
Ругаться с провайдером!? Ну нужна хоть какая зацепка, что это такое может быть в сети Ростелекома!?
Вот башку уже сломал!


Отправлено с моего iPad используя Tapatalk

Вооооот! С этого и нужно было начинать!

Попробуйте эту бяку выключить.

IPsec чувствителен к потере или переупорядочиванию пакетов с данными, возможно вам свитч мешает жить.

[CBLoner]

А вот проблема его выковырять, все восемь портов делят один канал. Может как нить в выходные напрямую и проверю - тогда отпишусь!
А как bandwidth на вход исход порта может повлиять? Он перестраивает пакеты? Я думал он их в очередь по порядку просто ставит!


Отправлено с моего iPad используя Tapatalk

[Le ecureuil]

7 минут назад, cbloner сказал:

А вот проблема его выковырять, все восемь портов делят один канал. Может как нить в выходные напрямую и проверю - тогда отпишусь!
А как bandwidth на вход исход порта может повлиять? Он перестраивает пакеты? Я думал он их в очередь по порядку просто ставит!


Отправлено с моего iPad используя Tapatalk

Он может дропать пакеты, а любой дроп - это нарушение SequenceID и инициализационного вектора, нужно их снова пересогласовать.

[CBLoner]

А как в шарке искать дропнутые пакеты? Какое у них признак? Спрашиваю, так как эту тему ещё не дебагил


Отправлено с моего iPad используя Tapatalk

[Le ecureuil]

2 часа назад, cbloner сказал:

А как в шарке искать дропнутые пакеты? Какое у них признак? Спрашиваю, так как эту тему ещё не дебагил


Отправлено с моего iPad используя Tapatalk

Прогалы между значениями для соседних пакетов в поле "Sequence number":