KorDen Posted July 4, 2016 Posted July 4, 2016 Вступление: Есть туннель между Ultra 2 (сейчас v2.07(AAUX.2)B1) и Giga 2 (v2.06(AAFS.1)B4). Эпизодически подключается вторая Giga 2 на аналогичной прошивке, но пока только для экспериментов. crypto ike proposal ABC encryption aes-cbc-128 dh-group 15 integrity sha1 crypto ike policy ABC proposal ABC lifetime 3600 mode ikev2 crypto ipsec transform-set ABC cypher esp-aes-128 hmac esp-sha1-hmac dh-group 15 lifetime 3600 crypto ipsec profile ABC dpd-interval 30 identity-local email a@a.a match-identity-remote any authentication-local pre-share mode tunnel policy ABC Первая, и основная проблема, сохраняющаяся практически с первых версий прошивок с поддержкой IPseс - спустя некоторое время (несколько часов) начинаются бесконечные пересогласования туннеля каждые 2 секунды, как следствие - потери пакетов в туннеле и ощутимая нагрузка на Giga 2. Решается перевключением no service ipsec / service ipsec. Self-test с обоих устройств отправлен L'ecureuil в ЛС. Вторая, правда не проверявшаяся на последних 2.06 - при активном использовании туннеля, например при копировании файла по SMB/FTP между компьютерами в разных локалках, когда скорость доходит до ~13-14 МБайт/с (везде гигабит) проц Giga 2 уходит в потолок и вебморда перестает открываться до падения нагрузки. Еще мелочь - так и не убрали (по крайней мере из вебморды) неподдерживаемый SHA-256 в SA на 2.6.22 Quote
Le ecureuil Posted July 6, 2016 Posted July 6, 2016 Вступление: Есть туннель между Ultra 2 (сейчас v2.07(AAUX.2)B1) и Giga 2 (v2.06(AAFS.1)B4). Эпизодически подключается вторая Giga 2 на аналогичной прошивке, но пока только для экспериментов. crypto ike proposal ABC encryption aes-cbc-128 dh-group 15 integrity sha1 crypto ike policy ABC proposal ABC lifetime 3600 mode ikev2 crypto ipsec transform-set ABC cypher esp-aes-128 hmac esp-sha1-hmac dh-group 15 lifetime 3600 crypto ipsec profile ABC dpd-interval 30 identity-local email a@a.a match-identity-remote any authentication-local pre-share mode tunnel policy ABC Первая, и основная проблема, сохраняющаяся практически с первых версий прошивок с поддержкой IPseс - спустя некоторое время (несколько часов) начинаются бесконечные пересогласования туннеля каждые 2 секунды, как следствие - потери пакетов в туннеле и ощутимая нагрузка на Giga 2. Решается перевключением no service ipsec / service ipsec. Self-test с обоих устройств отправлен L'ecureuil в ЛС. Вторая, правда не проверявшаяся на последних 2.06 - при активном использовании туннеля, например при копировании файла по SMB/FTP между компьютерами в разных локалках, когда скорость доходит до ~13-14 МБайт/с (везде гигабит) проц Giga 2 уходит в потолок и вебморда перестает открываться до падения нагрузки. Еще мелочь - так и не убрали (по крайней мере из вебморды) неподдерживаемый SHA-256 в SA на 2.6.22 Насчет первого - в работе, на ближайшие месяцы предстоит серьезный пакет переделок по IPsec. Насчет второго - или включайте crypto engine hardware, или если не помогает - то только смириться. Шейпер в сочетании с IPsec никто не проверял, но можете попрбовать на уровне 10-12 Мбайт/сек ограничить скорость передачи. Quote
KorDen Posted July 6, 2016 Author Posted July 6, 2016 Насчет первого - в работе, на ближайшие месяцы предстоит серьезный пакет переделок по IPsec.Насчет второго - или включайте crypto engine hardware, или если не помогает - то только смириться. Шейпер в сочетании с IPsec никто не проверял, но можете попрбовать на уровне 10-12 Мбайт/сек ограничить скорость передачи. По первому (пересогласования) - нет вариантов, как пока можно попробовать избежать проблему настройками? По второму - без hw было где-то 30 мбит/с с загрузкой ЦП Giga 2 в потолок, с ним чуть выше сотни. Пока с большой нагрузкой много не тестировали, т.к. использовать постоянно мешает п.1 Quote
KorDen Posted August 10, 2016 Author Posted August 10, 2016 Ради интереса проверил наличие проблемы после обновления strongswan на Ultra 2 (v2.08(AAUX.1)A2 <-> v2.06(AAFS.9)B4) - проблема сохраняется Quote
Le ecureuil Posted August 10, 2016 Posted August 10, 2016 Да, сообщений об проблеме набрано достаточно, недостаточно времени чтобы заняться вплотную Как только - так сразу. Quote
Le ecureuil Posted August 16, 2016 Posted August 16, 2016 Вроде бы найден и устранен источник проблем с постоянным пересогласованием, должно быть хорошо в следующих пятничных сборках 2.08 и 2.06. В 2.07 пока не стали переносить из-за возможных сайд-эффектов, потому что 2.07 на полном пути к стабильной версии. Всем просьба проверить "ушла" ли проблема с бесконечным пересогласованием или нет. 2 Quote
Le ecureuil Posted August 20, 2016 Posted August 20, 2016 В 8/10/2016 в 10:07, KorDen сказал: Ради интереса проверил наличие проблемы после обновления strongswan на Ultra 2 (v2.08(AAUX.1)A2 <-> v2.06(AAFS.9)B4) - проблема сохраняется Ну как на новых версиях, проблема сохраняется? Необходимо обновить обе прошивки. 1 Quote
KorDen Posted August 20, 2016 Author Posted August 20, 2016 1 час назад, Le ecureuil сказал: Ну как на новых версиях, проблема сохраняется? Необходимо обновить обе прошивки. Линк поднят около 4 часов назад, пока проблемы нет, пересогласования раз в час как обычно. Ранее он начинал бесконечно пересогласовывать спустя 2-3 часа вроде бы. Наблюдаю... Quote
KorDen Posted August 20, 2016 Author Posted August 20, 2016 За ~12 часов проблема не проявлялась.Пожалуй можно считать решенной, по крайней мере в моем случае Quote
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.