Задать вопрос
@vladme078
сетевое-администрирование

Cильная загрузка микротика при l2tp/ipsec?

Добрый день!
У меня стоит mikrotik CRS125-24G-1S-2HnD-IN. Поднял на нем l2tp/ipsec. Скорость провайдера 30мбит/с.
При подключении клиентом скорость выше 10мбит не поднимается, процессор загружен на 100%.
Поднял для эксперимента PPTP - там все нормально. Микротик отдает всю скорость и загрузка 25-28%.
Может кто-нибудь пояснить почему так? 
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=3des,aes-256-cbc
set h323 disabled=yes
/ip ipsec peer
add address=0.0.0.0/0 enc-algorithm=3des,aes-128,aes-192,aes-256 exchange-mode=main-l2tp generate-policy=port-override local-address=0.0.0.0 passive=yes secret=password
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0
  • Вопрос задан
  • 5289 просмотров
Комментировать
Подписаться 5 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 6
@resetsa
Системный администратор
А что непонятно то? процессор дохлый, не успевает больше шифровать
Ответ написан
1 комментарий
1 комментарий
@bukass
tools/profile что показывает? Что проц грузит?
Ответ написан
Комментировать
Комментировать
@vladme078 Автор вопроса
encrypting 68%.
firewall 8%
l2tp 7%
networking 4%
Ответ написан
1 комментарий
1 комментарий
shaytan
@shaytan
Всё правильно, процессор слабый для стойкого шифрования. Попробуйте использовать только AES, у меня в экспериментах получалось быстрее, чем 3DES.
Ответ написан
Комментировать
Комментировать
@vitalybogryashov
знаю много, но многого не знаю
Конечно же проблема в сложности шифрования. Можно попробовать просто по паролю, без сертификата и сверить скорость. Итог - выбирать, что важнее - защищенность, или скорость. Либо менять железку.
Ответ написан
Комментировать
Комментировать
@Maxim_Q
enc-algorithms=3des,aes-256-cbc

Алгоритмы шифрования плохие:
3des - уязвим и низкая скорость
aes-256-cbc - сильно грузит проц и низкая скорость передачи данных
aes-128-cbc - используй только его, с ним самая высокая скорость, другие режимы выключи.

настрой авторизацию по сертификатам, а не по паролю. Только сертификат защищает от атаки MITM
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Системный администратор
FS Travel Москва
от 170 000 ₽
Инженер по системному администрированию
Деловая среда от Сбербанка Москва
До 209 000 ₽
Эксперт Oracle DBA
Softline Москва
от 300 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Разработать парсер и админку
19 апр. 2024, в 14:12
30000 руб./за проект
Создать логотип
19 апр. 2024, в 14:10
500 руб./за проект
Разработка дизайна мобильного приложения которое управляет вентиляцией
19 апр. 2024, в 14:01
70000 руб./за проект
Ещё заказы