这是一个创建于 870 天前的主题,其中的信息可能已经有所发展或是发生改变。
在家和公司间建了一个 L2TP/ipsec 链路,速度只能跑到 2-3MB 。都 22 年了,隧道协议竟然还有这样的瓶颈
 |
1
CnpPt 2022-07-01 15:16:14 +08:00
不找自己问题吗
|
 |
3
sypopo 2022-07-01 15:21:53 +08:00
我软路由上建的,可以跑满带宽。
|
 |
4
yyysuo 2022-07-01 15:25:20 +08:00
你上传只有 30M 吧。
|
 |
7
i3x 2022-07-01 15:28:51 +08:00 via Android
@nigelboy 是不是设备性能不高?
虽然 500 4500 的 udp 端口特殊。不过目前我是没感觉 qos 。。。 对于部分地区的移动客户端的数据统计。。。我发现阿里云也并不是非常完美。。。晚高峰还是会卡表现得像服务器带宽满载。不过至少能连接了。。。不愧是移动,总让人时不时的重温 gprs 的感动。 |
 |
8
Scarletlens 2022-07-01 15:30:20 +08:00
家里宽带的上行我记得默认是 50Mb
|
|
9
i3x 2022-07-01 15:31:42 +08:00 via Android
@nigelboy 果然。。。你用的这种硬路由。肯定是了。这种需求不是这些低端玩意儿能吃得消的。你可以试一些不协商不握手不加密的隧道。比如 pptp 加预共享密钥。
|
 |
10
joshu 2022-07-01 15:33:03 +08:00
不是所有路由器都能对这个做加速的,ubnt erx 跑 ipsec 就只位个位数 MB 的速度
要速度找个 x86 软路由挂上 |
 |
11
neroanelli 2022-07-01 15:35:09 +08:00
你两边网络上下行对等吗?都是几百兆?
|
 |
12
springz 2022-07-01 15:51:15 +08:00
哈哈,大家都在说查上传,还是查下吧。即使是家用给的千兆宽带,上行一般最多 50 Mbps ,换算过来差不多最理想情况下 6 MB 。
|
|
13
i3x 2022-07-01 15:57:20 +08:00 via Android
@neroanelli 楼主说了,换了其他方式都正常。原因无非是性能不够。
@joshu 因为没有相关的加速电路。没有芯片。。。。就像硬盘录像机,那些监控的 cpu 还不如 10 年前的无线路由器 soc ,但是啥都是专用芯片。一个影像芯片用于接收 265 码流,一个用于回放。sata 桥还是特定的芯片。也有的方案芯片一体了,内部逻辑还是这样。毕竟功能单一。 er-x 的 7621 调度方式我个人更愿意把他当成软路由。。。。小包 pps 感人,且连接数也带不动多少。 我个人的区分软路由硬路由的依据:数据包被预定义的逻辑线速转发,就是硬路由。例如三层交换机的实现方式。数据包要经过 cpu 多次打捞才发出,就是软路由。软硬路由从来不是看硬件组成的。D1581 这玩意儿好像本质就是为交换机设计的? |
|
14
yyysuo 2022-07-01 16:00:16 +08:00
我用 7100u 的软路由,同样的协议,用 docker 搭的,能跑满我 100M 的上传。
|
 |
15
thtznet 2022-07-01 16:01:49 +08:00
你路由直接 AES 加密么?你不会用的是家用路由连的吧?
|
|
16
springz 2022-07-01 16:06:01 +08:00
|
|
17
springz 2022-07-01 16:11:56 +08:00
ipsec 也是非对称加密交换,建立连接后就都是对称加密了,最垃圾的家用路由也没啥问题的。只需要看 nat 是软的还是硬的。
|
|
18
springz 2022-07-01 16:14:42 +08:00
有些家用路由没有针对 ipsec 的 hw offload ,但是 2-3MB 的话也不至于,还是查运营商给了多少上传带宽吧,合理怀疑运营商只给了 30Mbps 。
|
|
19
i3x 2022-07-01 16:22:24 +08:00 via Android
@springz ipsec 是重 cpu 的行当。mips arm 什么的真的干不动,如果没有专用芯片还是得 x86 力大飞砖。
我知道 er-x 有 hwnat 。。。7621 的 hwnat 在 op 阵营好像是唯一的独苗,让互联网路由器把 openwrt 推入寻常人家的 7620a 都木有这能力。。 一旦有什么特殊的需要,er-x 的原系统会迅速放弃硬件加速路由,还不如 openwrt 。。。所以我觉得这玩意儿很鸡肋。。。但是这体积我又很喜欢。。。。。 可以说:简单 nat 功能的网管交换机,或者 7621 芯片的软路由。 @thtznet ipsec 还不一定是 aes 。选择多了。楼主帖子里已经表述了是 h3c 的路由器,要么是民用的,要么是企业入门级的。。。这种玩意儿么。。。性能自然就是渣渣。没有针对特殊处理的话,就是 cpu 硬抗。cpu 不是单功能专一的 |
 |
20
deplivesb 2022-07-01 16:48:33 +08:00
你确定不是自己的问题么?
|
 |
21
yc8332 2022-07-01 17:16:33 +08:00
你宽带上传多少带宽啊。家用最高也就 50M ,正常都是只有 20-30M 而已。。这个完全取决于你家的宽带
|
 |
22
huaes 2022-07-01 17:17:21 +08:00
应该还是路由器硬件问题,对加解密支持不好,华硕 AX86U AES 加密性能就到两百兆左右,最后还是换 PPTP 了
|
 |
23
Illusionary 2022-07-01 17:17:32 +08:00
我们公司就在用 ipsec ,没你说的问题
|
 |
24
JoeoooLAI 2022-07-01 17:22:48 +08:00
试过群晖和 ros 的 l2tp 均能跑慢 100m 上传,可能是设备 ipsec 性能问题?
|
|
25
springz 2022-07-01 17:34:45 +08:00
等楼主公布宽带上传带宽吧,然后再具体分析。
|
 |
27
nigelboy OP |
|
28
nigelboy OP 家里是在淘的一个 H3C 路由上直接开的服务 看各位大佬讨论越发觉得机器不行 之前特地观察了一下路由器 CPU 使用率很低 10%-20%的样子 考虑想办法整个软路由试试
|
 |
29
littlewing 2022-07-01 17:53:18 +08:00
设备支持 ipsec 硬件加速吗
|
 |
30
wm5d8b 2022-07-01 18:30:10 +08:00 via Android
ipsec 和 wireguard ,哪个更适合 op 的场景?
我在跨运营商的两台 ROS 间建立 wireguard ,也是这个速度,看了看 CPU 没满 |
 |
31
txydhr 2022-07-01 19:05:54 +08:00
自己的问题吧,我能跑 200M
|
 |
32
Yien 2022-07-01 20:55:23 +08:00  1
mtu 1380 試試
|
 |
34
melsp 2022-07-01 23:32:06 +08:00 via Android
你都知道 2022 了,应该晓得 ipsec 这种东西的局限性呐
|
 |
35
Achophiark 2022-07-02 09:07:11 +08:00
早前做过两端 ros 站点到站点 vpn ,速度还可以没有瓶颈,其实主要看你连接公司的应用是什么,大数据传递,不如公司建个 webdav ,可跑满带宽的。
|
 |
38
Eytoyes 2022-07-02 11:28:00 +08:00 1
两台 7621 设备,CPU 都超频到 1GHz ,都打开 hwnat ,且处于 nat1 模式:
L2TP/IPSec 站点到站点模式,SMB 可以跑 30Mbps ,但已经是单核满载了,上传带宽是 40Mbps 供你参考 |
 |
39
cwbsw 2022-07-02 11:47:56 +08:00 1
非 x86 平台跑 ipsec ,就别用 aes 了,chacha20poly1305 性能会更好,能直接上 wireguard 还要再好。
|
 |
41
brucebot 2022-07-02 13:15:14 +08:00 1
|
|
43
Eytoyes 2022-07-02 15:23:03 +08:00
@jsq2627 #42 同城延迟很低,几乎就是 1ms ,再次测了一下 FTP 模式,速度没有差异,7621A 先顶不住了,加密算法是 MPPE128
如果关闭加密,则跑满带宽,而且 CPU 使用率暴降,只有 6%左右 |
 |
44
haojunmei 2022-07-05 02:49:30 +08:00 1
我自己家宽带和朋友校园网建的 L2TP 就很正常,能跑满百兆。建议检查下自己的设备性能,因为 ipsec 这玩意本身就比较吃加解密性能,常见的路由处理器都只能用本身就不强的性能硬抗,所以就导致带宽很低,还有两端的 mtu ,这个我当初测试的时候也会有一点影响性能的。
|
Select Language