Jump to content
  • 0

IPSEC RB750 - 100% CPU само 2Мегабита ....

a001

Asked by a001,

 Share

Question

a001 Newbie

a001

Posted
Posted

Колеги в два офиса имам микротик 750 с routeros 5.6. Ползват се за Нат и нищо друго. Има нужда да се виждат двете локални мрежи между офисите (съответно 192.168.1.0/24 и 192.168.20.0/24). Ползвам следната конфигурация :

office 1

/ip ipsec policy 

add action=encrypt disabled=no dst-address=192.168.20.0/24 dst-port=any ipsec-protocols=esp level=require priority=0 proposal=default protocol=all sa-dst-address=2.2.2.2 sa-src-address=1.1.1.1 src-address=192.168.1.0/24 src-port=any tunnel=yes comment="IPSec VPN "

/ip ipsec peer

add address=2.2.2.2/32 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=disable-dpd dpd-maximum-failures=1 enc-algorithm=3des exchange-mode=main generate-policy=no hash-algorithm=sha1 lifebytes=0 lifetime=1d my-id-user-fqdn="" nat-traversal=no port=500 proposal-check=obey secret=****** send-initial-contact=yes comment="IPSec VPN "

/ip firewall nat

add action=accept chain=srcnat comment="IPSec VPN " disabled=no dst-address=192.168.20.0/24 src-address=192.168.1.0/24
office2 
/ip ipsec policy

add action=encrypt disabled=no dst-address=192.168.1.0/24 dst-port=any ipsec-protocols=esp level=require priority=0 proposal=default protocol=all sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 src-address=192.168.20.0/24 src-port=any tunnel=yes comment="IPSec VPN "

/ip ipsec peer

add address=1.1.1.1/32 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=disable-dpd dpd-maximum-failures=1 enc-algorithm=3des exchange-mode=main generate-policy=no hash-algorithm=sha1 lifebytes=0 lifetime=1d my-id-user-fqdn="" nat-traversal=no port=500 proposal-check=obey secret=****** send-initial-contact=yes comment="IPSec VPN "

/ip firewall nat

add action=accept chain=srcnat comment="IPSec VPN " disabled=no dst-address=192.168.1.0/24 src-address=192.168.20.0/24

Всичко в много добре, само че проблема е следният :

един от двата рутера се товари на 100% CPU (като товара НЕ Е от криптиране/ декриптиране - то стои 5-10% от общия товар) при скорости едва 2 мегабита (при линия 50). За проба спсменях криптирането , накрая го спрях - проблема с натоварването си стой на 100% при трансфер (ту на единия борд ту на другия, в зависимост от посоката на трансфера).....В резултат на което времето отива до 200-400мс закъснение

Прави ми впечатление , че натоварването в Profile стой основно на секциите Managment

Спряно е smnp.. Нямам идея. За спорта вчера упдейтнах единият борд до 5.9 , но без промяна. Утре ще ги взема и двата шри мене и ще се боря. Дайте идея ... дали е някакъв бъг ... Или да сменям концепцията с OpenVPN???

Link to comment
Share on other sites

10 answers to this question

Recommended Posts

  • 0
  • Administrator
111111 Rising Star

111111

Posted
  • Administrator
Posted

Актуалната версия е 5.23 http://www.mikrotik....oad/CHANGELOG_5

каква е тая идеология да гледаш 2 офиса през нат вместо през бридж?

натоварването на Managment включва webfig и winbox

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа

ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites
  • 0
a001
Newbie

a001

Posted
  • Author
Posted (edited)

о.к ще пробвам с последната 5.23 (заблудил съм се с 5.9 че е последна ...).

Във всеки офис, борда прави нат за компютрите от своята мрежа. правилото съм го сложил като първо, преди маскарадинга.

add action=accept chain=srcnat comment="IPSec VPN " disabled=no dst-address=192.168.1.0/24 src-address=192.168.20.0/24[/CODE]

Edited by 111111
Ползвай малко бутончетата за форматиране, като бутончето за КОД
Link to comment
Share on other sites
  • 0
  • Administrator
111111 Rising Star

111111

Posted
  • Administrator
Posted

настрой си бридж между интерфейсите към лан-а с едно Еоип

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа

ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites
  • 0
a001
Newbie

a001

Posted
  • Author
Posted

аман от бъгове... упдейт до последната рутерос и махане на етхер1 (ipsec-a вдигна с около 30% още трафика като се махне етхер1 ) и нещата се оправиха. Сега с blowfish криптиране, бута без проблем 20 Mbit/s...

Link to comment
Share on other sites
  • 0
master Community Regular

master

Posted
Posted

При нас и на въпросната версия няма никакви проблеми и бутат почти 70-80 мегабита. Все повече се убеждавам колко е субективно всичко. Но пробвай както по горе те посъветваха - при бриджа трябва да ги разтовариш още.

Analog Audio™

Link to comment
Share on other sites
  • 0
a001
Newbie

a001

Posted
  • Author
Posted (edited)

70-80 мегабита за криптитан тунел между бордовете РБ750 с ипсек ли или само за тунел ipip или eoip ? понеже аз говоря за 20 мегабита за криптитиран тунел с ipsec. Какъв енкрипшън ползвате?

Тествах варианта с eoip и бридж към лан - да пълни интерфейсите на макс като скорост, но данните не са криптирани ....

Всъщност за подобна задача с EoIP-( да се свържат два офиса )- се ползва eoip директно, или го поставят върху pptp или друг тунел за да бъдат криптирани данните ? или директно през интернет без мерки за криптиране се правят тунелите (говоря когато двете страни са с публичен интернет, а не в МАН мрежа, където могат д абъдат в един VLAN). Питам само за спорта ... Ясно е че е най добре да са си криптитани

Edited by a001
Link to comment
Share on other sites
  • 0
  • Administrator
111111 Rising Star

111111

Posted
  • Administrator
Posted

EoIP вътре в криптирания тунел с цел избягване на NAT както и попускане на всичкия трафик

Харесай поста ^^^
acer.gif htc.gifsigpic4024_2.gif

Форумът е за взаимопомощ а не за свършване на чужда работа

ɹɐǝɥ uɐɔ noʎ ǝɹoɯ ǝɥʇ 'ǝɯoɔǝq noʎ ɹǝʇǝınb ǝɥʇ

Link to comment
Share on other sites
  • 0
Mupo neTkoB Newbie

Mupo neTkoB

Posted
Posted

направи го възможно най-просто, така е отказоустойчиво.... какво толкова ще прекарват двата офиса че е необходима такава сигурност? една pptp връзка е напълно достатъчна

Теория - това е когато знаете всичко, но нищо не работи

Практика - това е когато всичко работи, но не знаете защо

При нас съчетаваме теорията с практиката - НИЩО не работи и нямаме понятие защо!!!

Link to comment
Share on other sites
  • 0
  • Administrator
kokaracha Enthusiast

kokaracha

Posted
  • Administrator
Posted

Ако гониш скорости или пройзводителност ти трябва процесор и крипт акселератор за тунелите,аз незная дали има такива РБ-та и дали имат такава поддържка.

Нещо от сорта Soekris VPN14X1 и alix2d13 или Atom 25xx/28xx би ти свършило работа.

Use since

OpenBSD 3.x

FreeBSD 4.x

Centos 5.x Debian 3.x Ubuntu 7.x

Аз съм фен на OpenWRT.

 

Горчивината от лошото качество остава дълго след като е преминало удоволствието от ниската цена.

_____________________________

___|____|____|____|____|____|__

_|____|____|____|____|____|____

___|____|_ Удряй _|____|____|__

_|____|___ главата ___|____|____

___|____|_ си тук!! |____|____|__

_|____|____|____|____|____|____

___|____|____|____|____|____|__

Link to comment
Share on other sites
  • 0
gbdesign Rookie

gbdesign

Posted
Posted

Ако не сте параноици на тема сигурност L2TP се конфигурира най-бързо и лесно и яде малко процесор.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to question listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.

  I accept