GRE tunnel

[sub_zero]

Ahoj,

mám propojenej byt z firmou pomocí L2TP. Doma mám 100Mbit od NetBoxu a RB751-2HnD, v práci x86, obojí na vláknu. Na obouch je verze 5.5. Jelikož potřebuju přístup na síťový disky do práce a doma chci pracovat jako v doméně v práci, používám DNSka z AD od nás z práce. Vše funguje, až na tu rychlost tunelu.. max cca 20Mbit a CPU na té 751ce je na stropě.
Inu, zrušil jsem L2TP a postavil čistej GRE tunel. Po prvním nastavení jsem málem spadl ze židle... up i down cca 80-90 Mbit přes SMB. Byl jsem štastný..
Dnes přijdu domů, a zjištuju, že download z firmy jede přes ten tunel max 7Mbit (5-7) a upload naplno těch 90Mbit. Přitom pingy jsou stabilní, pořád stejný, žádnej timeout. Zkoušel jsem ten tunel smazat, postavit znova, nepomohlo. Zrušil jsem ho, postavil IP tunel.. pořád stejný. Prolezl sem 371x konfigurace, nikde žádnej shaping. Udělal upgrade na 5.21, stejný.
Napadá někoho, kde by moh bejt zakopanej pes? Já přemejšlel nad MTUčkem toho tunelu, ale to by přece dělalo na obouch stranách (up i down).

Díky.

[Hatatitla]

Skús tam nahodiť toto či to skutočne nieje tým MTU :

Kód: Vybrat vše

add action=change-mss chain=forward comment="lebo tunel" disabled=no new-mss=\
    1400 out-interface=gre1 passthrough=yes protocol=tcp tcp-flags=syn \
    tcp-mss=1351-65535
add action=change-mss chain=forward comment="lebo tunel" disabled=no \
    in-interface=gre1 new-mss=1400 passthrough=yes protocol=tcp tcp-flags=syn \
    tcp-mss=1351-65535

[sub_zero]

tak beze změny. A teď přemýšlím, že pokud je to postavený na GRE, tak je ten tunel vlastně UDPčko.

[ludvik]

Tunel jo, ale ty pravidla mění TCP SYN pakety jdoucí do toho tunelu.

tak beze změny. A teď přemýšlím, že pokud je to postavený na GRE, tak je ten tunel vlastně UDPčko.

L2TP má jednu velkou výhodu, hrátky s MTU nepotřebuje a tedy je bezproblémový UDP provoz tím tunelem (o úspěšnosti doručování těch správných icmp zpráv lze leckde pochybovat ...). Stačí tam nastavit velké (v příkladech je 1600) MRRU. Plus je výhoda, že nemá problém s NATkou. Snad na všechny ostatní tunely je potřeba nějaký helper.
Ale - a to především, jsem mezi RB1100AH a RB433AH vytáhnul přes 80Mbit. Bylo to na stole, jen po ethernetu. Takže první problém s výkonem u tebe bych viděl v té RB751. Měl jsi zapnuté šifrování? Vypni ho ... na straně x86 asi problém nebude (byť neříkáš co to je), ale na 751 jo. A pokud budeš šifrovat, tak dáváš záhul všem RBčkům (asi krom AHx2, ale toho jsem v tu dobu ještě v ruce neměl).
Pitomé je, že si takovéto testy nikam nezapisuju, ale snad moc nelžu. Důvodem těch testů nebylo zjištění propustnosti.

Edit: verze byly 5.19

[sub_zero]

Tak sem nahodil l2tp bez šifrování a max cca 16Mbit, zatížení té 751ky cca 30%. Na druhý straně je x86 Supermicro, takže si nemyslím, že bude problém tam. Spíš mě zaráží, když ten GRE tunel tak pěkně šlapal, proč najendou takovej poser :/ Je možný, že by to nějak Smartcomp mohl řezat?

[ludvik]

Asi ti nezbude, než to otestovat i mimo ten tunel ... přímé tcp a udp mezi těmi stroji.
Ale možné je vše ... přílišný UDP provoz vypadá podezřele

Tak sem nahodil l2tp bez šifrování a max cca 16Mbit, zatížení té 751ky cca 30%. Na druhý straně je x86 Supermicro, takže si nemyslím, že bude problém tam. Spíš mě zaráží, když ten GRE tunel tak pěkně šlapal, proč najendou takovej poser :/ Je možný, že by to nějak Smartcomp mohl řezat?

[sub_zero]

Tak další poznatek... ten l2tp jede na downloadu těch cca 16Mbit, ale upload udělám 80-90Mbit Takže de-fakto identický chování jako toho GRE...můůůj Bóóóže