Низкая скорость L2TP\IPSEC в одну сторону

Здравствуйте уважаемые форумчане, у меня такая проблема:

Есть L2TP\IPSEC туннель между маршрутизатором CCR1009-8G-1S(дата-центр) и RB2011iL(филиал), прошивки 6.28 на обоих маршрутизаторах, скорость канала- 10 mbit/s. Проблема- низкая скорость при передаче файлов по туннелю(от дата-центра к филиалу), при этом- скорость скачивания приемлемая. Подскажите пожалуйста - в чем может быть причина?(туннель поднят и до других филиалов, но возможности проверить пока не было) Выкладываю конфиги во вложении.

 

Прошивку обновили до 29.1, прошу смотреть новые версии конфигов.

 

На 2011 загрузка процессора 25 процентов, на CCR около 1 процента. Так же хочу добавить, что при L2TP без IPSEC скорость нормальная.

 

Возьмусь ответить за guest55. Судя по тому, что указано в его конфигах, то:
датацентр:
/ip ipsec peer
add dpd-interval=15s dpd-maximum-failures=2 enc-algorithm=aes-256 \
generate-policy=port-strict hash-algorithm=md5 nat-traversal=no secret=\
пароль_ipsec send-initial-contact=no

филиал:
/ip ipsec peer
add address=белый_ip_датацентра/32 dpd-interval=15s dpd-maximum-failures=2 \
enc-algorithm=aes-256 hash-algorithm=md5 nat-traversal=no secret=\
пароль_ipsec

 

Шифрование AES 256 - как отметил Nemiroff_84

 

Странно. Если есть возможность проверьте скорость канала интернет speedtest.net.
Часто бывает, что провайдер исходящую скорость ставит меньше чем входящую.

 

Такая же проблема только на CCR1036-12G-4S (6.30.2).

 

Предположу что у него есть аппаратный чип шифрования как и у (rb1100) и он захлебывается от количества VPN.
Попробуйте отключить чип в настройках, чтобы шифрованием занимался внутренний 9 ядерный процессор.

 

А что за чип и как его отключить?

 

Производитель не хочет вникать в проблему

 

rb1100 имеет встроенный сопроцессор заточенный под шифрование который может шифровать со скоростью до 400-500мбит/сек. Скорее всего ccr имеет что-то подобное. К сожалению никогда не держал в руках rb1100 или ccr, поэтому где этот чип отключается подсказать не могу.

 

Проблема решена?
Собираюсь покупать CCR1009-8G-1S, и если там будут такие же проблемы.... то ..... в общем задумался.

Кстати, подскажите пожалуйста, серия CCR1009 - шумная???
Роутер будет стоять в трех метрах от работающих в офисе людей.

 

Здравствуйте! Подскажите, какую максимальную скорость можно поднять между RB1100AHx4 и RB951G-2hnd? Поднял на них l2tp через интернет Ростелекома (волокно с обеих сторон) - скорость 3 мегабита потолок, с ipsec ещё меньше. Это никак не устраивает ((

 

50 уже хватило бы! Подскажите пожалуйста, что поправить?

Код:

export hide-sensitive
# oct/03/2019 14:12:46 by RouterOS 6.44.5
# software id = FNLB-KYT4
#
# model = 951G-2HnD
# serial number = 965008FB0D46
/interface bridge
add admin-mac=CC:2D:E0:F8:52:1B auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX \
  disabled=no distance=indoors frequency=auto installation=indoor mode=\
  ap-bridge ssid=MikroTik wireless-protocol=802.11
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether2 name=pppoe-RT \
  use-peer-dns=yes user=gpon0902-813-339@pppoe
/interface l2tp-client
add add-default-route=yes connect-to=176.62.88.7 disabled=no name=farmalianse \
  use-ipsec=yes user=Nick
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \
  management-protection=allowed mode=dynamic-keys supplicant-identity=\
  MikroTik
/ip pool
add name=dhcp_pool0 ranges=192.168.2.2-192.168.2.254
/ip dhcp-server
add address-pool=dhcp_pool0 disabled=no interface=bridge name=dhcp1
/interface l2tp-client
add add-default-route=yes connect-to=tp.internet.beeline.ru disabled=no name=\
  Beeline profile=default user=0854812161
/interface bridge port
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge interface=ether5
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=all
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
add interface=ether2 list=WAN
add interface=pppoe-RT list=WAN
add interface=Beeline list=WAN
/ip address
add address=192.168.2.1/24 interface=bridge network=192.168.2.0
/ip dhcp-client
add comment=defconf default-route-distance=10 dhcp-options=hostname,clientid \
  disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.2.0/24 gateway=192.168.2.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 name=router.lan
/ip firewall address-list
add address=176.62.88.7 list=farmalianse
/ip firewall filter
add action=accept chain=input comment=\
  "defconf: accept established,related,untracked" connection-state=\
  established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
  invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
  in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
  ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
  ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
  connection-state=established,related disabled=yes
add action=accept chain=forward comment=\
  "defconf: accept established,related, untracked" connection-state=\
  established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=\
  invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" \
  connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-routing chain=prerouting new-routing-mark=Beeline passthrough=\
  yes src-address=192.168.2.3
/ip firewall nat
add action=accept chain=srcnat dst-address=192.168.30.0/24 out-interface=\
  farmalianse src-address=192.168.2.0/24
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=\
  out,none out-interface-list=WAN
add action=src-nat chain=srcnat dst-address=!192.168.2.0/24 out-interface=\
  Beeline routing-mark=Beeline src-address=192.168.2.3 to-addresses=\
  93.81.236.27
add action=dst-nat chain=dstnat dst-port=9 in-interface=pppoe-RT protocol=tcp \
  src-address-list=farmalianse to-addresses=192.168.2.9 to-ports=3389
add action=dst-nat chain=dstnat dst-port=49 in-interface=pppoe-RT protocol=tcp \
  src-address-list=farmalianse to-addresses=192.168.2.49 to-ports=3389
add action=dst-nat chain=dstnat dst-port=1927 in-interface=pppoe-RT protocol=\
  tcp src-address-list=farmalianse to-addresses=192.168.2.7 to-ports=22
add action=dst-nat chain=dstnat dst-port=1922 in-interface=pppoe-RT protocol=\
  tcp src-address-list=farmalianse to-addresses=192.168.2.8 to-ports=22
add action=dst-nat chain=dstnat dst-port=8777 in-interface=pppoe-RT protocol=\
  tcp src-address-list=farmalianse to-addresses=192.168.2.7 to-ports=8006
add action=dst-nat chain=dstnat dst-port=8 in-interface=pppoe-RT protocol=tcp \
  src-address-list=farmalianse to-addresses=192.168.2.8 to-ports=80
add action=dst-nat chain=dstnat dst-port=65 in-interface=Beeline protocol=tcp \
  src-address-list=farmalianse to-addresses=192.168.2.3 to-ports=3389
/ip route rule
add action=lookup-only-in-table routing-mark=Beeline table=Beeline
/system clock
set time-zone-name=Asia/Omsk
/system ntp client
set enabled=yes primary-ntp=88.147.254.230 secondary-ntp=88.147.254.235 \
  server-dns-names=ntp2.stratum2.ru,ntp3.stratum2.ru
/system script
add dont-require-permissions=no name=Nick owner=Nick policy=\
  ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=\
  "export file=config"
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN 

Конечно 10о желательно, даже IPsec ради этого готов отключить

Кстати, такая же проблема: из 1100 (сервер l2tp) в 951 (клиент) скорость 10мб/с, а из 951 в 1100 - 1мб/с. Почему? 951 грузится 70-90%, 1100 и 5% не набирает