Jump to content

Recommended Posts

Posted

Вступление: Есть туннель между Ultra 2 (сейчас v2.07(AAUX.2)B1) и Giga 2 (v2.06(AAFS.1)B4). Эпизодически подключается вторая Giga 2 на аналогичной прошивке, но пока только для экспериментов.

crypto ike proposal ABC
   encryption aes-cbc-128
   dh-group 15
   integrity sha1
crypto ike policy ABC
   proposal ABC
   lifetime 3600
   mode ikev2
crypto ipsec transform-set ABC
   cypher esp-aes-128
   hmac esp-sha1-hmac
   dh-group 15
   lifetime 3600
crypto ipsec profile ABC
   dpd-interval 30
   identity-local email a@a.a
   match-identity-remote any
   authentication-local pre-share
   mode tunnel
   policy ABC

Первая, и основная проблема, сохраняющаяся практически с первых версий прошивок с поддержкой IPseс - спустя некоторое время (несколько часов) начинаются бесконечные пересогласования туннеля каждые 2 секунды, как следствие - потери пакетов в туннеле и ощутимая нагрузка на Giga 2. Решается перевключением no service ipsec / service ipsec. Self-test с обоих устройств отправлен L'ecureuil в ЛС.

Вторая, правда не проверявшаяся на последних 2.06 - при активном использовании туннеля, например при копировании файла по SMB/FTP между компьютерами в разных локалках, когда скорость доходит до ~13-14 МБайт/с (везде гигабит) проц Giga 2 уходит в потолок и вебморда перестает открываться до падения нагрузки.

Еще мелочь - так и не убрали (по крайней мере из вебморды) неподдерживаемый SHA-256 в SA на 2.6.22

Posted
Вступление: Есть туннель между Ultra 2 (сейчас v2.07(AAUX.2)B1) и Giga 2 (v2.06(AAFS.1)B4). Эпизодически подключается вторая Giga 2 на аналогичной прошивке, но пока только для экспериментов.
crypto ike proposal ABC
   encryption aes-cbc-128
   dh-group 15
   integrity sha1
crypto ike policy ABC
   proposal ABC
   lifetime 3600
   mode ikev2
crypto ipsec transform-set ABC
   cypher esp-aes-128
   hmac esp-sha1-hmac
   dh-group 15
   lifetime 3600
crypto ipsec profile ABC
   dpd-interval 30
   identity-local email a@a.a
   match-identity-remote any
   authentication-local pre-share
   mode tunnel
   policy ABC

Первая, и основная проблема, сохраняющаяся практически с первых версий прошивок с поддержкой IPseс - спустя некоторое время (несколько часов) начинаются бесконечные пересогласования туннеля каждые 2 секунды, как следствие - потери пакетов в туннеле и ощутимая нагрузка на Giga 2. Решается перевключением no service ipsec / service ipsec. Self-test с обоих устройств отправлен L'ecureuil в ЛС.

Вторая, правда не проверявшаяся на последних 2.06 - при активном использовании туннеля, например при копировании файла по SMB/FTP между компьютерами в разных локалках, когда скорость доходит до ~13-14 МБайт/с (везде гигабит) проц Giga 2 уходит в потолок и вебморда перестает открываться до падения нагрузки.

Еще мелочь - так и не убрали (по крайней мере из вебморды) неподдерживаемый SHA-256 в SA на 2.6.22

Насчет первого - в работе, на ближайшие месяцы предстоит серьезный пакет переделок по IPsec.

Насчет второго - или включайте crypto engine hardware, или если не помогает - то только смириться. :) Шейпер в сочетании с IPsec никто не проверял, но можете попрбовать на уровне 10-12 Мбайт/сек ограничить скорость передачи.

Posted
Насчет первого - в работе, на ближайшие месяцы предстоит серьезный пакет переделок по IPsec.

Насчет второго - или включайте crypto engine hardware, или если не помогает - то только смириться. :) Шейпер в сочетании с IPsec никто не проверял, но можете попрбовать на уровне 10-12 Мбайт/сек ограничить скорость передачи.

По первому (пересогласования) - нет вариантов, как пока можно попробовать избежать проблему настройками?

По второму - без hw было где-то 30 мбит/с с загрузкой ЦП Giga 2 в потолок, с ним чуть выше сотни. Пока с большой нагрузкой много не тестировали, т.к. использовать постоянно мешает п.1

  • 1 month later...
Posted

Ради интереса проверил наличие проблемы после обновления strongswan на Ultra 2 (v2.08(AAUX.1)A2 <-> v2.06(AAFS.9)B4) - проблема сохраняется

Posted

Да, сообщений об проблеме набрано достаточно, недостаточно времени чтобы заняться вплотную :)

Как только - так сразу.

Posted

Вроде бы найден и устранен источник проблем с постоянным пересогласованием, должно быть хорошо в следующих пятничных сборках 2.08 и 2.06. В 2.07 пока не стали переносить из-за возможных сайд-эффектов, потому что 2.07 на полном пути к стабильной версии.

Всем просьба проверить "ушла" ли проблема с бесконечным пересогласованием или нет.

  • Thanks 2
Posted
В 8/10/2016 в 10:07, KorDen сказал:

Ради интереса проверил наличие проблемы после обновления strongswan на Ultra 2 (v2.08(AAUX.1)A2 <-> v2.06(AAFS.9)B4) - проблема сохраняется

Ну как на новых версиях, проблема сохраняется? Необходимо обновить обе прошивки.

  • Thanks 1
Posted
1 час назад, Le ecureuil сказал:

Ну как на новых версиях, проблема сохраняется? Необходимо обновить обе прошивки.

Линк поднят около 4 часов назад, пока проблемы нет, пересогласования раз в час как обычно. Ранее он начинал бесконечно пересогласовывать спустя 2-3 часа вроде бы. Наблюдаю...

Posted

За ~12 часов проблема не проявлялась.Пожалуй можно считать решенной, по крайней мере в моем случае

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

This site uses cookies. By clicking "I accept" or continuing to browse the site, you authorize their use in accordance with the Privacy Policy.