@differentlocal

В чем причина низкой производительности IPSec на Mikrotik RB952UI-5AC2ND-TC?

Всем привет!

Имеется железка Mikrotik RB952UI-5AC2ND-TC, на которой поднят IPSec IKE-2 VPN до удаленного сервера, на стороне которого крутится StrongSwan.

Проблема в том, что VPN работает сравнительно медленно:
При чистом соединении (вообще без VPN) скорость по SpeedTest составляет UP40/DN5 мегабит.
При соединении с IPSec-сервером с MacBook Pro за Mikrotik, скорость UP30/DN4 мегабита.
При соединении с IPSec-сервером с Mikrotik - скорость UP10/DN4 мегабита и выше ее поднять не удается.

При этом загрузка CPU Mikrotik не поднимается выше 50% в момент тестирования, а в обычной работе - не выше 10%.

IP FastTrack для IPSec выключил. Пробовал играться с различными видами шифрования и настройками TCP MSS, но значимого влияния на производительность это не оказало.

Куда можно копать? :)

Дамп конфигурации:
# may/11/2023 14:08:32 by RouterOS 6.49.7
# software id = G00Q-736Y
#
# model = RB952Ui-5ac2nD
# serial number = HD408F051S2
/ip ipsec mode-config
set [ find default=yes ] connection-mark=ipsec src-address-list=local use-responder-dns=yes
/ip ipsec peer
add address=vpn.***.com exchange-mode=ike2 name=***
/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-256,aes-192,aes-128,3des,des name=***
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha512,sha256,sha1,md5,null enc-algorithms="aes-256-cbc,aes-256-ctr,aes\
-256-gcm,aes-192-cbc,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm,3des,des,null" pfs-group=\
modp2048
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip firewall address-list
add address=192.168.88.0/24 list=local
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=\
established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related \
disabled=yes
add action=fasttrack-connection chain=forward connection-mark=!ipsec connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=\
established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes protocol=tcp tcp-flags=syn
add action=mark-connection chain=prerouting new-connection-mark=ipsec passthrough=yes src-address-list=local
add action=change-mss chain=forward connection-mark=ipsec new-mss=1300 passthrough=yes protocol=tcp tcp-flags=\
syn tcp-mss=!0-1325
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip ipsec identity
add auth-method=eap certificate="" eap-methods=eap-mschapv2 generate-policy=port-strict mode-config=\
request-only peer=*** username=****
/ip ipsec policy
add dst-address=0.0.0.0/0 src-address=0.0.0.0/0 template=yes
  • Вопрос задан
  • 523 просмотра
Пригласить эксперта
Ответы на вопрос 3
@be52
30мбит через ipsec на такой железке это нереально много. ты что то не так делаешь Ж)
Ответ написан
CityCat4
@CityCat4 Куратор тега VPN
//COPY01 EXEC PGM=IEBGENER
Нет аппаратного шифрования, следовательно шифрование нагружает процессор микротика. Когда рассчитвают именно на туннели по IPSec, обычно берут модели с аппаратным шифрованием. Можно попробовать установить со стороны микротика шифрование попроще - aes128-cbc и PFS modp1024, но особо прорывного действия я не оиждаю.
Прорывным действием будет только замена на модель с аппаратным шифрованием.
Ответ написан
Комментировать
@dronmaxman
VoIP Administrator
В нем нет поддержка аппаратного шифрования, разница с macbook в разных протоколах шифрования. У тебя большой выбор протокол шифрования включен, каждый клиент определяет для себя оптимальный по этому и скорость разная. Если использовать более простые протоколы то получиться поднять скорость

хотя бы
enc-algorithm=aes-128
auth-algorithms - не важно
enc-algorithms=aes-128-cbc
pfs-group=modp1024
или
enc-algorithm=3des
auth-algorithms - не важно
enc-algorithms=3des
pfs-group=modp1024

/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-256,aes-192,aes-128,3des,des name=***
/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha512,sha256,sha1,md5,null enc-algorithms="aes-256-cbc,aes-256-ctr,aes\
-256-gcm,aes-192-cbc,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm,3des,des,null" pfs-group=\
modp2048
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы