IPSEC RB750 - 100% CPU само 2Мегабита ....

[a001]

Колеги в два офиса имам микротик 750 с routeros 5.6. Ползват се за Нат и нищо друго. Има нужда да се виждат двете локални мрежи между офисите (съответно 192.168.1.0/24 и 192.168.20.0/24). Ползвам следната конфигурация :

office 1

/ip ipsec policy 

add action=encrypt disabled=no dst-address=192.168.20.0/24 dst-port=any ipsec-protocols=esp level=require priority=0 proposal=default protocol=all sa-dst-address=2.2.2.2 sa-src-address=1.1.1.1 src-address=192.168.1.0/24 src-port=any tunnel=yes comment="IPSec VPN "

/ip ipsec peer

add address=2.2.2.2/32 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=disable-dpd dpd-maximum-failures=1 enc-algorithm=3des exchange-mode=main generate-policy=no hash-algorithm=sha1 lifebytes=0 lifetime=1d my-id-user-fqdn="" nat-traversal=no port=500 proposal-check=obey secret=****** send-initial-contact=yes comment="IPSec VPN "

/ip firewall nat

add action=accept chain=srcnat comment="IPSec VPN " disabled=no dst-address=192.168.20.0/24 src-address=192.168.1.0/24

office2

/ip ipsec policy

add action=encrypt disabled=no dst-address=192.168.1.0/24 dst-port=any ipsec-protocols=esp level=require priority=0 proposal=default protocol=all sa-dst-address=1.1.1.1 sa-src-address=2.2.2.2 src-address=192.168.20.0/24 src-port=any tunnel=yes comment="IPSec VPN "

/ip ipsec peer

add address=1.1.1.1/32 auth-method=pre-shared-key dh-group=modp1024 disabled=no dpd-interval=disable-dpd dpd-maximum-failures=1 enc-algorithm=3des exchange-mode=main generate-policy=no hash-algorithm=sha1 lifebytes=0 lifetime=1d my-id-user-fqdn="" nat-traversal=no port=500 proposal-check=obey secret=****** send-initial-contact=yes comment="IPSec VPN "

/ip firewall nat

add action=accept chain=srcnat comment="IPSec VPN " disabled=no dst-address=192.168.1.0/24 src-address=192.168.20.0/24

Всичко в много добре, само че проблема е следният :

един от двата рутера се товари на 100% CPU (като товара НЕ Е от криптиране/ декриптиране - то стои 5-10% от общия товар) при скорости едва 2 мегабита (при линия 50). За проба спсменях криптирането , накрая го спрях - проблема с натоварването си стой на 100% при трансфер (ту на единия борд ту на другия, в зависимост от посоката на трансфера).....В резултат на което времето отива до 200-400мс закъснение

Прави ми впечатление , че натоварването в Profile стой основно на секциите Managment

Спряно е smnp.. Нямам идея. За спорта вчера упдейтнах единият борд до 5.9 , но без промяна. Утре ще ги взема и двата шри мене и ще се боря. Дайте идея ... дали е някакъв бъг ... Или да сменям концепцията с OpenVPN???

[111111]

Актуалната версия е 5.23 http://www.mikrotik....oad/CHANGELOG_5

каква е тая идеология да гледаш 2 офиса през нат вместо през бридж?

натоварването на Managment включва webfig и winbox

[a001]

о.к ще пробвам с последната 5.23 (заблудил съм се с 5.9 че е последна ...).

Във всеки офис, борда прави нат за компютрите от своята мрежа. правилото съм го сложил като първо, преди маскарадинга.

add action=accept chain=srcnat comment="IPSec VPN " disabled=no dst-address=192.168.1.0/24 src-address=192.168.20.0/24[/CODE]

Редактирано 14 Февруари, 2013 от 111111
Ползвай малко бутончетата за форматиране, като бутончето за КОД

[111111]

настрой си бридж между интерфейсите към лан-а с едно Еоип

[a001]

аман от бъгове... упдейт до последната рутерос и махане на етхер1 (ipsec-a вдигна с около 30% още трафика като се махне етхер1 ) и нещата се оправиха. Сега с blowfish криптиране, бута без проблем 20 Mbit/s...

[master]

При нас и на въпросната версия няма никакви проблеми и бутат почти 70-80 мегабита. Все повече се убеждавам колко е субективно всичко. Но пробвай както по горе те посъветваха - при бриджа трябва да ги разтовариш още.

[a001]

70-80 мегабита за криптитан тунел между бордовете РБ750 с ипсек ли или само за тунел ipip или eoip ? понеже аз говоря за 20 мегабита за криптитиран тунел с ipsec. Какъв енкрипшън ползвате?

Тествах варианта с eoip и бридж към лан - да пълни интерфейсите на макс като скорост, но данните не са криптирани ....

Всъщност за подобна задача с EoIP-( да се свържат два офиса )- се ползва eoip директно, или го поставят върху pptp или друг тунел за да бъдат криптирани данните ? или директно през интернет без мерки за криптиране се правят тунелите (говоря когато двете страни са с публичен интернет, а не в МАН мрежа, където могат д абъдат в един VLAN). Питам само за спорта ... Ясно е че е най добре да са си криптитани

Редактирано 16 Февруари, 2013 от a001

[111111]

EoIP вътре в криптирания тунел с цел избягване на NAT както и попускане на всичкия трафик

[Mupo neTkoB]

направи го възможно най-просто, така е отказоустойчиво.... какво толкова ще прекарват двата офиса че е необходима такава сигурност? една pptp връзка е напълно достатъчна

[kokaracha]

Ако гониш скорости или пройзводителност ти трябва процесор и крипт акселератор за тунелите,аз незная дали има такива РБ-та и дали имат такава поддържка.

Нещо от сорта Soekris VPN14X1 и alix2d13 или Atom 25xx/28xx би ти свършило работа.

[gbdesign]

Ако не сте параноици на тема сигурност L2TP се конфигурира най-бързо и лесно и яде малко процесор.