Возможно ли увеличить скорость SSTP тунеля на Mikrotik?

Question

[Андрей]

Добрый день!
Друзья, подскажите, может сталкивались:

Был сервер туннелей l2tp/ipsec. Всё работало, но были определённые нюансы, и решил я от него отказаться. (подключения не постоянные и когда соединения не было, лог сервера пестрил сообщениями от ipsec) Сделал на SSTP.
Классическая схема:

Сервер туннелей А (белый ip)

Клиент В (динамический(белый) IP) пинг до сервера А 9 мс.

Клиент С (НАТ. провайдер ТТК) пинг до сервера А 40 мс.

Скорость А-В - 8 Мбт/с

Скорость А-С - 2 Мбт/с

Замеры проводились не одновременно.
Раньше, когда был IPSEC, упирался в проц. (Модели 2011 и 951Ui) теперь не понятно во что....

Очень нужен Ваш совет, как бы увеличить скорость А - С. (с ipsec А - С было 8 Мбт/с)

/interface sstp-server server export
# jul/13/2016 18:12:41 by RouterOS 6.33.1
# software id = 1EQA-
#
/interface sstp-server server
set authentication=mschap2 certificate=P_E default-profile=SSTP-profile enabled=yes keepalive-timeout=10 \
    verify-client-certificate=yes

/interface sstp-client export
# jul/13/2016 18:12:01 by RouterOS 6.35.2
# software id = TYBC-
#
/interface sstp-client
add authentication=mschap2 certificate=ca.crt_0 connect-to=211.111.111.111 disabled=no mrru=1600 name=sstp_TA password=12345 user=B111 verify-server-address-from-certificate=no verify-server-certificate=yes

Comments

[Ziptar]

Я использую VPN в основном для доступа к SMB-шарам с виндовых клиентов. В итоге как раз отказался от SSTP в пользу L2TP/IPsec.

>теперь не понятно во что
В TCP.

Answer 1

[Кирилл Васильев]

это, всё?
а конфиги?

Answer 2

[Андрей]

Вот конфиг сервера и клиента. На клиентах конфиги идентичные.

Я начал без конфигов, думая что это из-за пинга...

[qwe@server] > /interface sstp-server server print
                    enabled: yes
                       port: 443
                    max-mtu: 1500
                    max-mru: 1500
                       mrru: disabled
          keepalive-timeout: 10
            default-profile: SSTP-profile
             authentication: mschap2
                certificate: P_E
  verify-client-certificate: yes
                  force-aes: no
                        pfs: no
[qwe@server] > 

[qwe@client] > /interface sstp-client print  
Flags: X - disabled, R - running 
  0  R name="sstp_TA" max-mtu=1500 max-mru=1500 mrru=1600 connect-to=211.111.111.111:443 http-proxy=0.0.0.0:443 certificate=ca.crt_0 verify-server-certificate=yes verify-server-address-from-certificate=no user="B111" password="12345" 
      profile=default keepalive-timeout=60 add-default-route=no dial-on-demand=no authentication=mschap2 pfs=no tls-version=any 
[qwe@client] >

Comments

[nimbo]

конфиги это не print, а export

[Андрей]

nimbo: Пардон. через CLI редко работаю....тыкаю всё :)

[Кирилл Васильев]

ммм а у сертификата какая длинна ключа?

[Андрей]

Кирилл Васильев: 4096. Так ведь она у обоих клиентов одинаковая.

Может есть другой вариант туннеля, который будет быстр, как pptp, безопасен как sstp и не будет засорять логи как ipsec?

Я отметил только одну зависимость пинг\скорость. Более явных не увидел. Решил спросить тут у знатоков.

[Кирилл Васильев]

Андрей: попробуйте без сертификатов, и разберитесь для начало с MTU, зачем вам IPsec если sstp и так шифруется

[Андрей]

Кирилл Васильев: Кирилл, без сертификатов я попробую и отпишусь, а по поводу MTU Вы правы, ведь сервер (А) и клиент (B) они на pppoe (1480-1492), а клиент ( С ) проблемный на ethernet. А там 1500. Я изменил размер кадра sstp сервера и клиента на 1480 и скорость поднялась в 1,5 раза!
Спасибо!
Могу получить от Вас совет по выбору размера кадра?

[Кирилл Васильев]

Андрей: Размер кадра установить можно только опытным путём с помощью флага DF

[Андрей]

Кирилл, спасибо за помощь! Без сертификата скорость на пол мегабита больше. Но из-за виндовых клиентов отказаться от него не могу. MTU я оставил 1480. Пробовал менять +- и смотреть с DF, максимальный размер который проходит 1472. На нём и самая большая скорость. Оставил 1480.

Ещё раз БОЛЬШОЕ спасибо!