Как поправить скорость vpn сети, чтобы все завелось на микротиках?

Question

[Dima]

Центральный CCR1036 Link 100M (гарантированый канал)
Филиалы RB750 Link 2M (гарантированый канал)

На CCR1036 поднят PPTP сервер так как в филиалах динамические WAN IP

Единсветнные надстройки которые делались с FW это правила фильтров

/ip firewall filter
add action=drop chain=input comment="\C7\E0\E1\EB\EE\EA\E8\F0\EE\E2\E0\F2\FC \
    \EF\EB\EE\F5\E8\E5 \EF\E0\EA\E5\F2\FB" connection-state=invalid
add chain=input comment="\D0\E0\E7\F0\E5\F8\E8\F2\FC \F3\F1\F2\E0\ED\EE\E2\EB\
    \E5\ED\ED\FB\E5 \F1\EE\E5\E4\E8\ED\E5\ED\E8\FF" connection-state=\
    established
add chain=input comment=\
    "\D0\E0\E7\F0\E5\F8\E8\F2\FC \EF\F0\EE\F2\EE\EA\EE\EB  Ping" disabled=yes \
    protocol=icmp
add chain=input comment=\
    "\D0\E0\E7\F0\E5\F8\E8\F2\FC \EF\F0\EE\F2\EE\EA\EE\EB  GRE" protocol=gre
add chain=input comment=\
    "\D0\E0\E7\F0\E5\F8\E8\F2\FC \EF\F0\EE\F2\EE\EA\EE\EB  PPTP" dst-port=\
    1723 protocol=tcp
add chain=input comment="\D0\E0\E7\F0\E5\F8\E8\F2\FC \EF\EE\EB\ED\EE\E5 \F1\EE\
    \E5\E4\E8\ED\E5\ED\E8\E5 \EF\EE \EB\FE\E1\EE\EC\F3 \EF\F0\EE\F2\EE\EA\EE\
    \EB\F3 \EB\E8\F1\F2\F3 safe" src-address-list=safe
add action=drop chain=forward comment="Block Adobe" layer7-protocol=adobe \
    src-address=10.8.0.0/16 src-address-list=!ACL_IP_IT_SUPPORTS
add action=drop chain=forward comment="Block Corel" layer7-protocol=corel \
    src-address=10.8.0.0/16 src-address-list=!ACL_IP_IT_SUPPORT
add action=drop chain=input comment=\
    "\C7\E0\E1\EB\EE\EA\E8\F0\EE\E2\E0\F2\FC \E2\F1\B8"

После как поднялся туннель проверяю скорость на RB750
Интернет через WAN IP показывает 1.7M
Интернет через PPTP IP показывает 256kb
Mikrotik «Bandwidth test» во внутренней сети показывает также как предыдущем 256kb

Брал на тестирование:
Ядро DFL-2560
Филиала DSR-150

Интернет через WAN IP показывает 1.8M
Интернет через PPTP IP показывает 1.5M

Вопрос: как поправить скорость впн сети, чтобы все завелось на микротиках?

Answer 1

[Ilya Evseev]

Шифрование включено? Если да, то попробуйте выключить.
Загрузка процессора на RB750 в момент передачи какая?

Comments

[Dima]

загрузка проца минимальна

Answer 2

[lryzhik]

с mtu все в порядке? какой mtu стоит на pptp туннелях?
ну и присоединяюсь -- что с шифрованием?

Answer 3

[Dima]

МТУ


Шифрование

Comments

[Ilya Evseev]

поставьте везде "no". и на вопрос про загрузку процессора ответьте.

Answer 4

[Dima]

поставил везде no

Test c филиала (10.8.29.100) дата-центр 10.8.254.254



все печально

Ping с филиала (10.8.29.100) дата-центр 10.8.254.254

проходят , если начинаю ставить -l 1500 не проходит - нормально проходит -l 1400

Comments

[Ilya Evseev]

Не делайте размер пакета больше mtu. В лучшем случае он фрагментируется, как udp, в худшем выкидывается, как пинг. В тесте поменяйте udp 1500 на tcp 1200.

[Dima]

TCP показывает скорость 460кб

Answer 5

[Dima]

Проблема решилась , везде у меня стоял шейпер для VoIP чтобы не превышали скорость 256кб

/queue simple
add limit-at=256k/256k max-limit=256k/256k name=Phone1 packet-marks=\
    Phone1-packet priority=1/1 target="" total-priority=1
add limit-at=256k/256k max-limit=256k/256k name=Phone2 packet-marks=\
    Phone2-packet priority=2/2 target="" total-priority=2

Отключил скорость стала показываться правильно (не думал что данное правило может портить жизнь , оно должно только ограничивать телефоны чтобы больше от канала не брали), если включаю шифрование минус 40%.

Всем огромное спасибо !