Hardvérová akcelerácia IPsecu na MikroTiku

[michal2588]

Dobrý deň potrebujem poradiť, mám Mikrotik RB1100AHx4 a potrebujem zrýchliť VPN, skúšal som L2TP/IPSec SHA1 AES-CBC 256 aj 128 a OVPN SHA1 AES-CBC 256 aj 128 cez L2TP mám rýchlosť max 7Mbps a cez OVPN max 2Mbps. Chcem sa opýtať, či je potrebné niečo nastaviť aby kryptovanie išlo hardvérovo cez CPU, alebo by to malo ísť automaticky. Skúšal som aj RB750gr3 a je to to iste.

[Reklama]

[panpanika]

tabulecku jsi videl?

https://wiki.mikrotik.com/wiki/Manual:IP/IPsec#Hardware_acceleration

afaik 750gr3 da aspon 200mbit

[michal2588]

Áno videl, preto som si vybral RB1100AHx4, ale neviem kde môžem robiť chybu, internet mame 1000/200Mbps skúšal som všetky kombinácie sifrovania mal som vypnuté všetky pravidla vo firewalle okrem VPN a stále je to to isté.

[panpanika]

zacal bych tim ze si dam primo proti sobe. koukal bych na vytizeni cpu a na mktiku je i profiling kde vidis co ho zere. navaze se ti urco akcelerovana sifra? -> logging ipsec.

[Radek Kudla]

jen bacha, ono ipsec a obecně vpn je hodně závislé na odezvě a parametrech sítě. Ke mě domů to je 8ms a dává to přes l2tp na pohodu k 600mbitům. Zkusil jsem z práce do jedné serverovny v Brně navázat na zkoušku l2tp (0,5ms odezva) a tam to už fičelo téměř gbitem. S providerem, co jsem měl předtím to jelo domů 400mbit a přitom odezva jen o 1ms větší.

RB1100AHx4 bude na pohodu dávat 200mbit, spíš ale mohem víc.

[Reklama]

[michal2588]

Viete mi sem prosím dať config vašej VPN? IP adresu zmažte, chcel by som to porovnať s mojou, že v čom robím chybu.

[panpanika]

spis sem dej tvuj /export terse obou koncu. ja to beham hlavne na chr/esxi..

[ja.]

Žiadne L2TP, to sa potom balia pakety dvakrát, a druhýkrát to vždy robí CPU.

Samotné IKEv2, takto nejako (site to site):

Kód: [Vybrat]

/ip ipsec profile
set [ find default=yes ] enc-algorithm=aes-256,aes-192,aes-128 hash-algorithm=sha256
add dh-group=modp2048 enc-algorithm=aes-256 name=profile2

/ip ipsec peer
add address=peer1.fqdn exchange-mode=ike2 name=peer1 profile=profile2
add address=peer2.fqdn exchange-mode=ike2 name=peer2 profile=profile2
add address=peer3.fqdn exchange-mode=ike2 name=peer3 profile=profile2

/ip ipsec proposal
set [ find default=yes ] auth-algorithms=sha256,sha1 enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm,\
  aes-192-cbc,aes-192-ctr,aes-192-gcm,aes-128-cbc,aes-128-ctr,aes-128-gcm pfs-group=modp2048
add enc-algorithms=aes-256-cbc,aes-256-ctr,aes-256-gcm name=proposal2 pfs-group=modp2048

/ip firewall filter
...
add action=accept chain=input comment="allow IPSEC IKE, NAT" dst-port=500,4500 protocol=udp
add action=accept chain=input comment="allow IPSec ESP" protocol=ipsec-esp
...
add action=accept chain=forward comment="accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="accept out ipsec policy" ipsec-policy=out,ipsec
...


/ip firewall raw
add action=notrack chain=prerouting dst-address=peer1-subnet/24 src-address=local-subnet/24
add action=notrack chain=prerouting dst-address=local-subnet/24 src-address=peer1-subnet/24
add action=notrack chain=prerouting dst-address=peer2-subnet/24 src-address=local-subnet/24
add action=notrack chain=prerouting dst-address=local-subnet/24 src-address=peer2-subnet/24
add action=notrack chain=prerouting dst-address=peer3-subnet/24 src-address=local-subnet/24
add action=notrack chain=prerouting dst-address=local-subnet/24 src-address=peer3-subnet/24

/ip ipsec identity
add peer=peer1 remote-id=fqdn:peer1.fqdn secret=ABC
add peer=peer2 remote-id=fqdn:peer2.fqdn secret=DEF
add peer=peer3 remote-id=fqdn:peer3.fqdn secret=GHJ

/ip ipsec policy
add dst-address=peer1-subnet/24 peer=peer1 proposal=proposal2 src-address=local-subnet/24 tunnel=yes
add dst-address=peer2-subnet/24 peer=peer2 proposal=proposal2 src-address=local-subnet/24 tunnel=yes
add dst-address=peer3-subnet/24 peer=peer3 proposal=proposal2 src-address=local-subnet/24 tunnel=yes


[michal2588]

Ešte som zabudol spomenúť, že ja riešim Server/klient klienti sú Windows 10, na začiatku som mal L2TP, ale Microsoft po každej aktualizácii odstavy L2TP tak preto som chcel prejsť na OVPN ale ta ide úplne na hovno, vyskúšam IKEv2, skúšal som aj SSTP ale nešlo to dobre

[David]

Mně taky nikdy nešla VPN Mikrotik proti Mikrotiku rychle a CPU bylo vytížené. Možná za to může taky firewall, ten by to chtělo na zkoušení "vypnout", aby člověk viděl, jestli mu to bez pravidel poběží rychle.

[michal2588]

Ešte mám jednu otázku, ktorá z VPN vie fungovať cez routing? Medzi našou firmou a našou pobočkou mame IP Tunel, na pobočke je tunel na LHGR LTE a chcel by som prerobiť, LHGR LTE by bola len brána a VPN tunel by bežal na RB760iGS, ktorá VPN by takto vedela fungovať?

[panpanika]

Ešte som zabudol spomenúť, že ja riešim Server/klient klienti sú Windows 10, na začiatku som mal L2TP, ale Microsoft po každej aktualizácii odstavy L2TP tak preto som chcel prejsť na OVPN ale ta ide úplne na hovno, vyskúšam IKEv2, skúšal som aj SSTP ale nešlo to dobre

u l2tp ipsec byl problem za pslednich 5 let snad jednou, jinak za to muzou... suboptimalni koncove prvky a ....sverazni isp.. ale to resi
sstp, ktere mi chodi velmi dobre jak mktik win, tak mktik mktik.
mam desitky klientu tak mozna tam je nejaky prob ve vetsi skale ale jinak fakt dobry a i na MTCSE skoleni si lektor pochvaloval sstp. novy veci bych asi delal na wg, ale za me je v ty 7 rade furt nejaky bourlivy vyvoaj a tak vyckavam..

[panpanika]

Ešte mám jednu otázku, ktorá z VPN vie fungovať cez routing? Medzi našou firmou a našou pobočkou mame IP Tunel, na pobočke je tunel na LHGR LTE a chcel by som prerobiť, LHGR LTE by bola len brána a VPN tunel by bežal na RB760iGS, ktorá VPN by takto vedela fungovať?

vsechny L3 vpn.. pozor u ipsec se dela routing skrz policies. dokonce i kdyz mas L2 vpn tak skrz ni muzes mit L3 tunel (mrkni na osi mobel a strukturu paketu, bude ti to jasnejsi snad)

[Radek Kudla]

L2TP u Windows rozbil update cca půl roku nazpět, za týden vyšel hotfix. To je jediný problém za x let.

Mikrotik 3011 dával v OpenVPN sha1 aes256 50mbit/s (jak jsem psal, odezva pod 10ms). Ccr2004 dává přes 100mbitu. Ipsec 3011 dával kolem 150mbitu. A to ještě nebylola hw šifra.

Jak jsem psal - hodně důležitá je odezva a kvalita linky, pokud máš mezi tunely odezvu víc jak 5ms, tak to jde hodně rychle dolů. Jestli máš na jedné straně ADSL/VDSL, tak z toho víc nevytahnes.

[michal2588]

Na firme mame optiku 6ms, ale na pobočke mame LTE 18ms a viac toto ma až tak netrápi, ale viac ma trápia klientske vpn na Windows, budem naďalej skúšať ktorá varianta bude najlepšia, ďakujem vám za cenné rady.