Производительность IPsec Вчера проводил нагрузочное тестирование IPsec VPN. Результаты оказались... интересными. * **Тестовая среда:** Два Linux сервера (Ubuntu 22.04) с Intel Xeon Gold 6248R процессорами и 128ГБ RAM. Между серверами прямой канал связ

Кстати, для справки, между двумя роутерами RB2011UAS-RM я получаю стабильные 40 Мбит/с, используя AES128/SHA-1 и IPSEC в RouterOS 6.3.

Вот результаты теста производительности hAP AC IPSec: http://forum.mikrotik.com/t/hap-ipsec-performance-tests/90898/1 Можно ожидать, что 951G покажет производительность примерно на 20% ниже.

Привет, я тут экспериментировал с hEX Gr3 и EOIP через IPSec, и заметил очень большие различия в производительности в зависимости от того, делает ли hEX маршрутизацию или нет. У меня есть сервер на базе Intel Atom в дата-центре с RouterOS i386 6.40.3 в качестве удалённой стороны, а в нашем офисе у нас линия VDSL 100/40 MBit/s. В простом случае hEX (VPN-роутер) подключён к FritzBox (VDSL-роутер), и между роутером в дата-центре и hEX в офисе определён интерфейс EOIP. Определена небольшая подсеть /30 в приватном диапазоне, и у обоих роутеров есть IP-адреса в одной сети, они могут пинговать друг друга. Подсеть /30 используется как сеть передачи, и некоторые серверы в дата-центре могут достигать серверов в нашем офисе через статически определённые маршруты с обеих сторон. В этом случае hEX в офисе является роутером и шлюзом по умолчанию для теста, и я могу запустить iperf на Linux-хосте с каждой стороны и получить около 25.0 Mbits/sec. Пока что всё хорошо. Когда я использую второй роутер в офисе, например, rb3011, и перенёс маршрутизацию и настройку IP с hEX на rb3011, так что rb3011 будет делать маршрутизацию, а hEX будет только IPSec-шлюзом и будет передавать интерфейс EOIP через Ethernet-интерфейс на rb3011, то я получаю около 87.0 Mbits/sec. Так почему такая огромная потеря производительности, когда hEX выполняет шифрование IPSec, туннель EOIP и маршрутизацию сам по себе?

Смотрел на загрузку ЦП? Можно кое-что сделать, чтобы повысить производительность файрвола. У меня нет опыта работы с EoIP, но есть Hex3 с IPsec/L2TP. Проводил тесты, и при скорости 21/20 Мбит/с загрузка ЦП была очень низкой. Даже при маршрутизации. Фотографии прикреплены. Моя конфигурация: Клиент 1: RB1100AHx2. Интернет-канал: оптоволокно, 15/15 Мбит/с. Клиент 2: RB1100AHx2. Интернет-канал: беспроводной, 30/30 Мбит/с. Сервер: HAP Ac lite, стоит за Hex, подключен через обычный Ethernet. Роутер: Hex3. Интернет-соединение 30/30 Мбит/с (домашний), по Ethernet/PPPoE. HAP Ac Lite подключен к одному из его коммутаторных портов. Тест был двунаправленный, UDP, размер Tx и Rx — 1300.

Ну вот, похоже, начинаем приближаться к сути. Видимо, что-то в настройках твоего файрвола/NAT вызывает эту проблему. Ты используешь NAT в туннеле? Если нет, то проблема, скорее всего, в файрволе. Без использования туннеля, сколько CPU потребляет Hex, когда десктопы используют интернет? И еще, процессор перегружен? Насколько он загружен, когда используешь туннель И работаешь с файрволом/NAT?