Почему при передаче тяжелого файла перестает ходить трафик в туннеле IPsec?

Question

[nois]

Имеется: серверы IPsec StrongSwan и L2TP/IPsec Keenetic 4G III. Оба работают стабильно, территориально находятся в разных местах, клиенты успешно подключаются и работают, на StrongSwsn даже поднят постоянный туннель с другим офисом (все ок). Но когда я сам подключаюсь из дома, творится какая-то бесовщина.

Дома: ПК с Win10 2004, ноут с Win10 1903, роутер Keenetic Giga. Подключение к StrongSwan (IKEv2) по сертификату, к Keenetic4G III (L2TP/IPsec) по PSK.

При подключении по проводу (как с компа, так и с ноута), к любому из серверов, туннель создается и функционирует. Но, если начать передавать файл (например, размером 500МБ), то после передачи 100-200МБ (по-разному) трафик перестает ходить, при подключении к RDP такая же ситуация (пару минут работы и все). При этом туннель сохраняется (по крайней мере на сервере StrongSwan).

Если же подключение беспроводное (через wi-fi), то все работает без нареканий. Так же пробовал заменить домашний роутер на Miktotik - работает стабильно.

Подскажите, в какую сторону копать.

UPD: попробовал на компе из под линукса (strongswan client) - работает без проблем

Answer 1

[nois]

Решается отключением на домашнем роутере (Keenetic giga NDMS v2.04) лишних компонентов, в частности, "аппаратный обработчик пакетов".

Но, какова причина такого поведения, так и не понял. Было предположение, что роутер не справляется с фрагментацией пакетов, но эксперименты с MTU ни к чему не привели.
Зато на Linux все работает отлично - с включенными компонентами на роутере, по проводу\без провода.

Answer 2

[Алексей Черемисин]

Попробуйте уменьшить MTU на VPN, до 512 например. По идее должно помочь.

Comments

[Олег Волков]

Наверняка MTU, правда 512 уж очень мало.

[Алексей Черемисин]

Олег Волков, ну прибавляйте потихоньку

[nois]

Вряд ли MTU, т.к. пинг тоже отваливается. К тому же на беспроводном интерфейсе норм работает.

Answer 3

[Keffer]

Так же пробовал заменить домашний роутер на Miktotik - работает стабильно.

Подскажите, в какую сторону копать.

В сторону замены полной убогих кинетиков на микротики. Там ничего не падает и все работает идеально.

Comments

[nois]

Я бы с радостью, но на данный момент нет такой возможности. Да и хочется разобраться в проблеме, так как может возникнуть подобная ситуация еще где.

[Keffer]

Это проблема самих кинетиков, чтобы ее решить, нужно известные усилия приложить, причем совместно с разработчиками железок и ПО.

[Valentin Barbolin]

nois, Новый прошивок на Кинект нету?

[nois]

Keffer, так по большому счету, домашний кинетик тупо гоняет UDP и ничего не знает про туннель и шифрованный трафик, только на проводном интерфейсе как-то не очень это работает, а на беспроводном стабильно.

[nois]

Andrey Barbolin, нету

[fdroid]

В микротике можно настроить всё. И ты будешь настраивать всё.

[mayton2019]

Обычно WiFi на порядок медленнее проводного. И если гипотетически предположить что дело в скорости то можно поставить shaper на проводной интерфейс и таким образом решить проблему

[nois]

mayton2019, на другом роутере по проводу все норм

[mayton2019]

Тогда надо смотреть глубже. Дай больше статистики. Сравни 2 конфигурации. Где больше ошибок, битых пакетов.

[nois]

mayton2019, в момент, когда перестает ходить трафик в туннеле в журналах не возникает никаких записей об ошибке

Answer 4

[pindschik]

Упирается в процессор роутера (длительная перегрузка) и настройки обрыва соединения при отсутствии связи. ОС роутера не может обработать пинг в туннеле и считает, что он упал. Поиграйтесь с настройками детектирования обрывов.

Comments

[nois]

ОС роутера не может обработать пинг в туннеле и считает, что он упал

Роутер про туннель ничего не знает

[pindschik]

Видимо я не так понял, думал туннель аппаратный на Кинетике. Кстати тоже вариант для пробы...