День добрый.
Есть связка IPSEC FreeBSD и Dlink DI-804HV
В принципе все работает, но передача данных через сетевую шару не поднимается более 150КБ/сек.
До freebsd с другого хоста iperf показывает ~ 20/20 Mbit/sec, т.е. это приблизительно 2.2 метра.
Из сети за Freebsd в инет приблизительно так и есть 2.2 Мб
Из сети за Dlink (100Mbit/sec) в инет тоже нормально ходит, до 7 Мб/сек
А вот по туннелю как черепаха ...
В тунеле поставил минимальные настройки шифрования.
Фаза1 des, фаза2 des, pfs_group 1, аутентификация cha1
Есть еще ipfw, включен шейпер, но в трубы идет трафик от других интерфейсов (vlan), на gif ни чего не шейпируется.
Правила IPSEC в ipfw стоят первыми, видно что по ним что то идет.
CPU на Freebsd не загружен, iftop при копировании показывает что еще 50% канала не занято (исходя из ~ 20/20 Mbit/sec )
Больше ни каких подозрительных вещей не вижу.
Народ, помогите ускорить туннель.
Какие есть варианты, что еще можно посмотреть?
Заранее спасибо...
IPSEC FreeBSD и Dlink DI-804HV
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: IPSEC FreeBSD и Dlink DI-804HV
Код: Выделить всё
ifconfig
Убей их всех! Бог потом рассортирует...
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Re: IPSEC FreeBSD и Dlink DI-804HV
Собственно вот.
ifconfig
setkey.conf
racoon.conf
Реальные IP правил, мог где то опечататься ...
Повторюсь, туннель работает и пакеты ходят в обе стороны, а вот скорость низкая.
Если нужно что то еще говорите, покажу.
ifconfig
Код: Выделить всё
re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
ether 1c:6f:65:85:da:b7
inet 11.22.33.44 netmask 0xfffffff8 broadcast 11.22.33.250
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
re2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
ether f0:7d:68:b8:af:8e
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=3<RXCSUM,TXCSUM>
inet 127.0.0.1 netmask 0xff000000
enc0: flags=41<UP,RUNNING> metric 0 mtu 1536
vlan12: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=3<RXCSUM,TXCSUM>
ether f0:7d:68:b8:af:8e
inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
vlan: 12 parent interface: re2
gif1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1280
tunnel inet 11.22.33.44 --> 44.22.33.11
inet 192.168.0.1 --> 192.168.5.1 netmask 0xffffff00
options=1<ACCEPT_REV_ETHIP_VER>
Код: Выделить всё
#!/usr/local/sbin/setkey -f
flush;
spdflush;
#-----------------------------------------------------------------------------------------------------
spdadd 192.168.0.0/24 192.168.5.0/24 any -P out ipsec esp/tunnel/11.22.33.44-44.33.22.11/require;
spdadd 192.168.5.0/24 192.168.0.0/24 any -P in ipsec esp/tunnel/44.22.33.11-11.22.33.44/require;
#-----------------------------------------------------------------------------------------------------
Код: Выделить всё
remote 44.33.22.11 [500]
{
exchange_mode main,aggressive;
doi ipsec_doi;
situation identity_only;
lifetime time 24 hour;
initial_contact on;
proposal_check obey;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo address 192.168.0.0/24 any address 192.168.5.0/24 any
{
pfs_group 2;
lifetime time 60 minutes;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
Повторюсь, туннель работает и пакеты ходят в обе стороны, а вот скорость низкая.
Если нужно что то еще говорите, покажу.
- kharkov_max
- капитан
- Сообщения: 1862
- Зарегистрирован: 2008-10-03 14:56:40
Re: IPSEC FreeBSD и Dlink DI-804HV
UP
Добрый день господа.
Я так понимаю всеобщее молчание означает что с конфигами все в порядке и пока вариантов решения нет?
Добрый день господа.
Я так понимаю всеобщее молчание означает что с конфигами все в порядке и пока вариантов решения нет?