IPSEC FreeBSD и Dlink DI-804HV

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

IPSEC FreeBSD и Dlink DI-804HV

Непрочитанное сообщение kharkov_max » 2014-01-28 19:09:13

День добрый.

Есть связка IPSEC FreeBSD и Dlink DI-804HV
В принципе все работает, но передача данных через сетевую шару не поднимается более 150КБ/сек.
До freebsd с другого хоста iperf показывает ~ 20/20 Mbit/sec, т.е. это приблизительно 2.2 метра.
Из сети за Freebsd в инет приблизительно так и есть 2.2 Мб
Из сети за Dlink (100Mbit/sec) в инет тоже нормально ходит, до 7 Мб/сек
А вот по туннелю как черепаха ...

В тунеле поставил минимальные настройки шифрования.
Фаза1 des, фаза2 des, pfs_group 1, аутентификация cha1

Есть еще ipfw, включен шейпер, но в трубы идет трафик от других интерфейсов (vlan), на gif ни чего не шейпируется.
Правила IPSEC в ipfw стоят первыми, видно что по ним что то идет.
CPU на Freebsd не загружен, iftop при копировании показывает что еще 50% канала не занято (исходя из ~ 20/20 Mbit/sec )
Больше ни каких подозрительных вещей не вижу.

Народ, помогите ускорить туннель.
Какие есть варианты, что еще можно посмотреть?
Заранее спасибо...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: IPSEC FreeBSD и Dlink DI-804HV

Непрочитанное сообщение Alex Keda » 2014-01-30 22:30:26

Код: Выделить всё

ifconfig
чтоле покажите...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: IPSEC FreeBSD и Dlink DI-804HV

Непрочитанное сообщение kharkov_max » 2014-02-01 10:46:40

Собственно вот.

ifconfig

Код: Выделить всё

re0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether 1c:6f:65:85:da:b7
        inet 11.22.33.44 netmask 0xfffffff8 broadcast 11.22.33.250
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
re2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=389b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_UCAST,WOL_MCAST,WOL_MAGIC>
        ether f0:7d:68:b8:af:8e
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
ipfw0: flags=8801<UP,SIMPLEX,MULTICAST> metric 0 mtu 65536
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000
enc0: flags=41<UP,RUNNING> metric 0 mtu 1536
vlan12: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=3<RXCSUM,TXCSUM>
        ether f0:7d:68:b8:af:8e
        inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
        vlan: 12 parent interface: re2
gif1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1280
        tunnel inet 11.22.33.44 --> 44.22.33.11
        inet 192.168.0.1 --> 192.168.5.1 netmask 0xffffff00
        options=1<ACCEPT_REV_ETHIP_VER>
setkey.conf

Код: Выделить всё

#!/usr/local/sbin/setkey -f

flush;
spdflush;

#-----------------------------------------------------------------------------------------------------
spdadd 192.168.0.0/24 192.168.5.0/24 any -P out ipsec esp/tunnel/11.22.33.44-44.33.22.11/require;
spdadd 192.168.5.0/24 192.168.0.0/24 any -P  in ipsec esp/tunnel/44.22.33.11-11.22.33.44/require;
#-----------------------------------------------------------------------------------------------------
racoon.conf

Код: Выделить всё

remote  44.33.22.11 [500]
{
        exchange_mode main,aggressive;
        doi ipsec_doi;
        situation identity_only;
        lifetime time 24 hour;
        initial_contact on;
        proposal_check obey;
        proposal {
              encryption_algorithm 3des;
              hash_algorithm sha1;
              authentication_method pre_shared_key;
              dh_group 2;
        }
}

sainfo address 192.168.0.0/24 any address 192.168.5.0/24 any
{
        pfs_group 2;
        lifetime time 60 minutes;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}
Реальные IP правил, мог где то опечататься ...
Повторюсь, туннель работает и пакеты ходят в обе стороны, а вот скорость низкая.
Если нужно что то еще говорите, покажу.

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: IPSEC FreeBSD и Dlink DI-804HV

Непрочитанное сообщение kharkov_max » 2014-02-05 9:01:25

UP

Добрый день господа.
Я так понимаю всеобщее молчание означает что с конфигами все в порядке и пока вариантов решения нет?