Добрый день. имеется следующая конфигурация: С одной стороны CCR1009, с другой х86 Микротик в KVM. Канал 1Gbit/sec, latency - 60мс. Статика с обеих сторон, поднят EOIP туннель+IPSec. Очевидная проблема - скорость в туннеле. Bandwidth тест udp в туннеле показывает адекватные значения, но по TCP - 16-20Mbit. так же и iperf - 25-30Mbit. Про размер окна знаю, но iperf -w ситуацию не меняет. Да и в последних версиях win его руками вроде как не укажешь. Для начала хочется понять, это проблема win или настройки mikrotik. MTU в туннеле автоматический. на бридже установлен руками 1500. Так как стояла изначально задача обеспечить л2 связность между двумя площадками, для использования DFSR, SMB и прочих радостей, сейчас все выглядит очень печально. Может кто сталкивался с подобной проблемой, буду благодарен за подсказки.
1. Какая нагрузка на CPU на обоих роутерах? 2. Какой тип шифрования IPSec используете? 3. Поддерживается ли на KVM AES-NI? (Иногда его надо включить в BIOS сервера) 4. Если п.3 да, то совпадают ли типы шифрования чтобы включилось аппаратное ускорение? По типам смотрите здесь: https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_acceleration
1. Нагрузка в момент обмена трафиком в туннеле - 10-15% на CCR'е и 10-20% на х86 2. AES CBC 256 SHA1 3-4.К BIOS сервера доступа к сожалению нет, а все что доступно на Proxmox на данный момент, через редактирование конфигов ВМ не дает результата. Насколько я понимаю, должен гореть флаг Hardware AEAD на микротике в IPSec SAs? Но, наверное, стоит отметить, что и без IPSec проверяли, результат такой же...
Если захватывать с роутера, там сплошные ретрансмиты. Если захватывать с клиента, на вид вроде бы все ок. Опять же смущает размер окна tcp Илья, если нужно, выложу pcap файл.
