Cильная загрузка микротика при l2tp/ipsec?

Добрый день!
У меня стоит mikrotik CRS125-24G-1S-2HnD-IN. Поднял на нем l2tp/ipsec. Скорость провайдера 30мбит/с.
При подключении клиентом скорость выше 10мбит не поднимается, процессор загружен на 100%.
Поднял для эксперимента PPTP - там все нормально. Микротик отдает всю скорость и загрузка 25-28%.
Может кто-нибудь пояснить почему так?
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des,aes-256-cbc
set h323 disabled=yes
/ip ipsec peer
add address=0.0.0.0/0 enc-algorithm=3des,aes-128,aes-192,aes-256 exchange-mode=main-l2tp generate-policy=port-override local-address=0.0.0.0 passive=yes secret=password
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0
  • Вопрос задан
  • 5673 просмотра
Пригласить эксперта
Ответы на вопрос 6
@resetsa
Системный администратор
А что непонятно то? процессор дохлый, не успевает больше шифровать
Ответ написан
@bukass
tools/profile что показывает? Что проц грузит?
Ответ написан
Комментировать
@vladme078 Автор вопроса
encrypting 68%.
firewall 8%
l2tp 7%
networking 4%
Ответ написан
shaytan
@shaytan
Всё правильно, процессор слабый для стойкого шифрования. Попробуйте использовать только AES, у меня в экспериментах получалось быстрее, чем 3DES.
Ответ написан
Комментировать
@vitalybogryashov
знаю много, но многого не знаю
Конечно же проблема в сложности шифрования. Можно попробовать просто по паролю, без сертификата и сверить скорость. Итог - выбирать, что важнее - защищенность, или скорость. Либо менять железку.
Ответ написан
Комментировать
@Maxim_Q
enc-algorithms=3des,aes-256-cbc

Алгоритмы шифрования плохие:
3des - уязвим и низкая скорость
aes-256-cbc - сильно грузит проц и низкая скорость передачи данных
aes-128-cbc - используй только его, с ним самая высокая скорость, другие режимы выключи.

настрой авторизацию по сертификатам, а не по паролю. Только сертификат защищает от атаки MITM
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы