+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

NordVPN-IKEv2 медленная скорость Интернета

NordVPN-IKEv2 медленная скорость Интернета, RouterOS

KiralyIstvanFot

Guest

12.07.2019 07:25:00

Уважаемые, я протестировал соединение ikev2 (прошивка 6.45.1) с NordVPN, однако отклик и скорость слишком низкие, хотя моя скорость интернета 1 Гбит/300 Мбит. С NordVPN скорость 110/30 Мбит, но это очень нестабильно, страницы иногда загружаются, а иногда возникает тайм-аут. У кого-нибудь есть опыт работы с этим? Или какой самый лучший провайдер VPN для Mikrotik? Я знаю, что клиент ovpn пока не работает на полную мощность. Я использовал документ Mikrotik: https://wiki.mikrotik.com/wiki/IKEv2_EAP_between_NordVPN_and_RouterOS

CuninganReset Guest	#2 0 27.12.2019 21:34:00 Я отвечаю за свою спину, я пробовал правило Mangle и отключал Fasttrack на роутере, и теперь всё похоже на световую скорость. Сейчас это работает для меня, по крайней мере, производит хорошее первое впечатление.

noko

Guest

22.09.2019 23:30:00

У меня такая же проблема. Подключение такое, что даже веб-страницы не могут полностью загрузиться. Сначала я думал, что проблема в размере MTU, но изменение MTU на 1200 не решает её. Я пытался исключить трафик ipsec из правила fasttrack, но результат остается прежним. Я не знаю, как отладить эту проблему. Может, инструмент torch поможет?

Rumpel

Guest

08.10.2019 18:51:00

Я думаю, у меня такая же проблема с RBD52G-5HacD2HnD на RouterOS v6.45.6. У меня есть две подсети: 192.168.1.0/24 используется для обычного домашнего роутера. Сам роутер имеет адрес 192.168.1.1, а оставшееся адресное пространство используется для DHCP-пула подключенных устройств. 192.168.2.0/24 — это DHCP-пул для устройств, подключенных к L2TP-серверу, настроенному на роутере. Когда я настраивал туннель NordVPN (используя инструкцию на вики-странице Mikrotik), решил маршрутизировать только 192.168.2.0/24, чтобы не мешать обычному интернет-соединению дома. Также я добавил в исключения некоторые конечные адреса, которые не должны проходить через туннель и будут маршрутизироваться напрямую. Теперь, после того как я все это настроил, я также хочу, чтобы 192.168.1.0/24 проходила через туннель NordVPN, поэтому добавляю её в соответствующий список адресов. И после этого возникает странная ситуация: на 192.168.1.0/24 я сталкиваюсь с вышеупомянутой проблемой, где у меня скорость загрузки 25 Мбит/с (максимум для моего интернет-провайдера) и почти 0 Мбит/с (около 0.02 Мбит/с) для скорости выгрузки. Веб-серфинг очень тормозит. Но соединения из списка исключений работают нормально на полной скорости. В то же время на той же машине, когда я подключаюсь к VPN-серверу на роутере и соответственно попадаю в подсеть 192.168.2.0/24, все работает отлично, и я получаю максимальные скорости загрузки и выгрузки, разрешенные моим провайдером через туннель NordVPN. Есть идеи, как исправить проблему со скоростью выгрузки? Я в этом деле новичок, поэтому, во-первых, в моем случае это может быть просто тупая ошибка в конфигурации, а во-вторых, пожалуйста, объясняйте проще в ответах. ------- ОБНОВЛЕНИЕ ------------- Я отключил fasttracking, как советовал синдy. Это помогло, но проблему не решило. С отключенным fasttracking у меня около 4 Мбит/с для скорости выгрузки.

msatter Guest	#5 0 27.12.2019 22:58:00 Трафик, проходящий через IKEv2, не может быть ускорен, вот в чем ваша проблема. MTU смотрите: http://forum.mikrotik.com/t/mtu-troubles-using-ikev2-providers-like-nordvpn-work-around/135154/1

sindy

Guest

15.10.2019 20:00:00

С отключенным ускорением сложность и неправильный порядок правил вашего файрвола теоретически могут вызвать замедление. Кроме того, плохой выбор алгоритмов шифрования и/или аутентификации в /ip ipsec proposal может быть причиной, где "плохой" означает "не поддерживается аппаратно". Итак, как только туннель будет установлен, проверьте вывод /ip ipsec installed-sa print на наличие символа H рядом с динамическим ID элемента в крайнем левом столбце, что указывает на использование аппаратного шифрования: [me@MyTik] > ip ipsec installed-sa print Flags: H - hw-aead, A - AH, E - ESP 0 H E spi=0xFA1132C1 src-address=x.x.x.x dst-address=y.y.y.y state=mature auth-algorithm=sha1 enc-algorithm=aes-cbc enc-key-size=256 auth-key=“d3b45f4dd85075f97b4a44943aff308c2a3c9f65” enc-key=“9688c7251cfc7bd79cbda89801d818805b629695c68c6284f54843601989d4ae” addtime=oct/15/2019 17:53:45 expires-in=9m12s add-lifetime=24m/30m current-bytes=3000 current-packets=19 replay=128 Если используется аппаратное шифрование, опубликуйте экспорт конфигурации, следуя рекомендациям по анонимизации в моей автоматической подписи ниже, так как настройка файрвола может быть не оптимальной.

msatter Guest	#7 0 15.10.2019 20:13:00 Думал о том, чтобы понизить MTU, потому что MSS не работает для загрузки в RouterOS! http://forum.mikrotik.com/t/still-struggling-with-mss-mtu-ikev2/133810/3 Установите MTU на 1280 и ! 0-1280: http://forum.mikrotik.com/t/understanding-and-fixing-mtu-mss-pmtu-with-ipsec/126731/13

Rumpel

Guest

16.10.2019 17:53:00

В моей конфигурации не так много правил для файрвола, а использование ЦП не превышает 5% во время тестов скорости к удалённым серверам. Даже в сети нашего местного провайдера, где у меня ограничение 100 Мбит/с, я никогда не видел более 30% использования ЦП (при отключённом fasttracking), когда скачивал торренты на полной скорости. Проверил поддержку по оборудованию, и символ H есть в каждой записи. Думаю, эта потенциальная причина не может объяснить, почему у меня есть ограничение по скорости на прямом соединении, а на VPN его нет, хотя во втором случае используется ещё большее шифрование, но скорость выше. Да! Я добавил правило для mangle по второй ссылке, и это решило проблему! (хотя я не указывал порты в своём случае). Теперь всё работает как задумано. Спасибо всем за помощь!

msatter Guest	#9 0 16.10.2019 18:14:00 Правило не понадобилось бы, если бы все работало как ожидается. Рад, что помог и снова получил поддержку от других участников, которые помогают таким как я.

sindy

Guest

#10

16.10.2019 20:36:00

Мне действительно хотелось бы понять, как проблема с MTU может вызывать значительно более низкую скорость при, в остальном, работающих соединениях. Ладно, каждый пакет, занимающий целое MTU, разбивается на два благодаря обработке IPsec, которая добавляет к нему дополнительные байты, но это должно привести к половине скорости в худшем случае. А если они вообще не проходят из-за неправильного MTU, то TCP-сессии должны полностью терпеть неудачу, а не просто замедляться.

msatter

Guest

#11

16.10.2019 20:59:00

Я посмотрел с помощью WireShark, что происходит, когда у меня медленный старт и половина скорости. Это было недавно. При загрузке он корректно определяет MTU с линией MSS или без неё, а также если активирован параметр clamp to pmtu. Работает отлично. При загрузке всё идет наперекосяк, MTU не определяется, и даже произошло такое, что подключение полностью зависло на MTU 536. Я не смог это решить, активировав линию MSS или перезапустив роутер. Только восстановление резервной копии смогло развязать узел с MTU. Я посмотрел на трафик ICMP, и он был направлен на моего клиента, но никогда не выходил из роутера, и IPSEC его забирал, и ничего не происходило. Он был помечен как NAT, поэтому мне следовало сообщить моему клиенту, что он должен снизить MTU до 1382. Раньше у меня было соединение L2TP, и тогда у меня не было трафика, когда я доходил до второй части speedtest.net. Иногда это работало, а иногда нет. Сейчас я использую IKEv2 и лучше информирован, у меня теперь линия MSS всегда активна, и иногда даже тогда загрузка зависает, например, когда я пытаюсь опубликовать здесь что-то, что загружается очень медленно, или части форума не работают. Иногда мне нужно несколько минут или даже дней, прежде чем я снова смогу что-то опубликовать или войти. Я уже привык к этому. Я отправил supout.rif в Mikrotik, когда мой роутер оказался в заблокированном статусе MTU, и до сих пор получил только автоматическое подтверждение.

msatter Guest	#12 0 12.11.2019 12:18:00 Я не решил эту проблему, но смог уточнить её благодаря поддержке Mikrotik.

CuninganReset

Guest

#13

27.12.2019 21:31:00

У меня такая же проблема с NordVPN, очень медленное соединение при просмотре, пинг и разрешение DNS работают отлично, но серфинг - это просто катастрофа. Я сделал изменения MSS в мангле, следуя рекомендациям от Mikrotik, но это всё равно не работает для меня.

gion Guest	#14 0 10.03.2020 20:28:00 Привет! Это мой первый пост на этом сайте, и мои знания в сетевых технологиях очень базовые. Я прочитал сообщения о медленной скорости интернета с NordVPN-IKEv2, но все равно не понимаю, как настроить HAP ac2 с NordVPN. Мне нужно просто скрыть свое местоположение IP. Я настроил отдельную локальную сеть для одного из портов и назначил её отдельному мосту. Теперь осталось настроить IPsec. Я следовал инструкциям с https://wiki.mikrotik.com/wiki/IKEv2_EAP_between_NordVPN_and_RouterOS, но скорость очень медленная. Я пытался изменить/добавить action=none dst-address=/24 src-address=0.0.0.0/0, но это не дало эффекта. И, как я понял, проблема не в MTU, верно? Более того, я не смог добавить это в политику IPsec. Есть ли у кого-то возможность показать мне наглядно, что именно мне нужно изменить в этом руководстве → https://wiki.mikrotik.com/wiki/IKEv2_EAP_between_NordVPN_and_RouterOS? Спасибо!

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры