V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
测试工具
SmokePing
IPv6 访问测试
nigelboy
V2EX  ›  宽带症候群

关于 L2TP/ipsec 协议

  •  
  •   nigelboy · 93 天前 · 3444 次点击
    这是一个创建于 93 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在家和公司间建了一个 L2TP/ipsec 链路,速度只能跑到 2-3MB 。都 22 年了,隧道协议竟然还有这样的瓶颈

    45 条回复    2022-07-06 11:58:14 +08:00
    CnpPt
        1
    CnpPt  
       93 天前
    不找自己问题吗
    nigelboy
        2
    nigelboy  
    OP
       93 天前
    @CnpPt 应该不是吧 换了其他方式尝试 速度都挺正常的
    sypopo
        3
    sypopo  
       93 天前
    我软路由上建的,可以跑满带宽。
    yyysuo
        4
    yyysuo  
       93 天前
    你上传只有 30M 吧。
    nigelboy
        5
    nigelboy  
    OP
       93 天前
    @sypopo 还真有可能是路由器的坑 我用了个 H3C 的路由器 查了一下 ipsec 的吞吐量只有 40Mb
    nigelboy
        6
    nigelboy  
    OP
       93 天前
    @yyysuo 千兆宽带 测试最差也有个一百兆的样子
    i3x
        7
    i3x  
       93 天前 via Android
    @nigelboy 是不是设备性能不高?
    虽然 500 4500 的 udp 端口特殊。不过目前我是没感觉 qos 。。。

    对于部分地区的移动客户端的数据统计。。。我发现阿里云也并不是非常完美。。。晚高峰还是会卡表现得像服务器带宽满载。不过至少能连接了。。。不愧是移动,总让人时不时的重温 gprs 的感动。
    Scarletlens
        8
    Scarletlens  
       93 天前
    家里宽带的上行我记得默认是 50Mb
    i3x
        9
    i3x  
       93 天前 via Android
    @nigelboy 果然。。。你用的这种硬路由。肯定是了。这种需求不是这些低端玩意儿能吃得消的。你可以试一些不协商不握手不加密的隧道。比如 pptp 加预共享密钥。
    joshu
        10
    joshu  
       93 天前
    不是所有路由器都能对这个做加速的,ubnt erx 跑 ipsec 就只位个位数 MB 的速度
    要速度找个 x86 软路由挂上
    neroanelli
        11
    neroanelli  
       93 天前
    你两边网络上下行对等吗?都是几百兆?
    springz
        12
    springz  
       93 天前
    哈哈,大家都在说查上传,还是查下吧。即使是家用给的千兆宽带,上行一般最多 50 Mbps ,换算过来差不多最理想情况下 6 MB 。
    i3x
        13
    i3x  
       93 天前 via Android
    @neroanelli 楼主说了,换了其他方式都正常。原因无非是性能不够。
    @joshu 因为没有相关的加速电路。没有芯片。。。。就像硬盘录像机,那些监控的 cpu 还不如 10 年前的无线路由器 soc ,但是啥都是专用芯片。一个影像芯片用于接收 265 码流,一个用于回放。sata 桥还是特定的芯片。也有的方案芯片一体了,内部逻辑还是这样。毕竟功能单一。

    er-x 的 7621 调度方式我个人更愿意把他当成软路由。。。。小包 pps 感人,且连接数也带不动多少。

    我个人的区分软路由硬路由的依据:数据包被预定义的逻辑线速转发,就是硬路由。例如三层交换机的实现方式。数据包要经过 cpu 多次打捞才发出,就是软路由。软硬路由从来不是看硬件组成的。D1581 这玩意儿好像本质就是为交换机设计的?
    yyysuo
        14
    yyysuo  
       93 天前
    我用 7100u 的软路由,同样的协议,用 docker 搭的,能跑满我 100M 的上传。
    thtznet
        15
    thtznet  
       93 天前
    你路由直接 AES 加密么?你不会用的是家用路由连的吧?
    springz
        16
    springz  
       93 天前
    @i3x @joshu 不一样的,er-x 有 hwnat ,ubnt 花钱买的。我也是 er-x 主路由扔弱电箱。实测 ipsec 开 hwnet 100Mbps 没啥问题,超过运营商给的上传带宽。开了 hwnet pppoe 也基本不占用 CPU 。260 kpps for 64‑byte packets and 1 Gbps for 1518-byte packets 性能不错了。不是千兆以上宽带完全没问题。
    springz
        17
    springz  
       93 天前
    ipsec 也是非对称加密交换,建立连接后就都是对称加密了,最垃圾的家用路由也没啥问题的。只需要看 nat 是软的还是硬的。
    springz
        18
    springz  
       93 天前
    有些家用路由没有针对 ipsec 的 hw offload ,但是 2-3MB 的话也不至于,还是查运营商给了多少上传带宽吧,合理怀疑运营商只给了 30Mbps 。
    i3x
        19
    i3x  
       93 天前 via Android
    @springz ipsec 是重 cpu 的行当。mips arm 什么的真的干不动,如果没有专用芯片还是得 x86 力大飞砖。
    我知道 er-x 有 hwnat 。。。7621 的 hwnat 在 op 阵营好像是唯一的独苗,让互联网路由器把 openwrt 推入寻常人家的 7620a 都木有这能力。。

    一旦有什么特殊的需要,er-x 的原系统会迅速放弃硬件加速路由,还不如 openwrt 。。。所以我觉得这玩意儿很鸡肋。。。但是这体积我又很喜欢。。。。。
    可以说:简单 nat 功能的网管交换机,或者 7621 芯片的软路由。

    @thtznet ipsec 还不一定是 aes 。选择多了。楼主帖子里已经表述了是 h3c 的路由器,要么是民用的,要么是企业入门级的。。。这种玩意儿么。。。性能自然就是渣渣。没有针对特殊处理的话,就是 cpu 硬抗。cpu 不是单功能专一的
    deplivesb
        20
    deplivesb  
       93 天前
    你确定不是自己的问题么?
    yc8332
        21
    yc8332  
       93 天前
    你宽带上传多少带宽啊。家用最高也就 50M ,正常都是只有 20-30M 而已。。这个完全取决于你家的宽带
    huaes
        22
    huaes  
       93 天前
    应该还是路由器硬件问题,对加解密支持不好,华硕 AX86U AES 加密性能就到两百兆左右,最后还是换 PPTP 了
    Illusionary
        23
    Illusionary  
       93 天前
    我们公司就在用 ipsec ,没你说的问题
    JoeoooLAI
        24
    JoeoooLAI  
       93 天前
    试过群晖和 ros 的 l2tp 均能跑慢 100m 上传,可能是设备 ipsec 性能问题?
    springz
        25
    springz  
       93 天前
    等楼主公布宽带上传带宽吧,然后再具体分析。
    nigelboy
        26
    nigelboy  
    OP
       93 天前
    @i3x 用物理机 映射端口也不太行 有点奇怪
    nigelboy
        27
    nigelboy  
    OP
       93 天前
    @neroanelli
    @springz 测了上传能跑到百兆 差的时候也有七八十兆
    nigelboy
        28
    nigelboy  
    OP
       93 天前
    家里是在淘的一个 H3C 路由上直接开的服务 看各位大佬讨论越发觉得机器不行 之前特地观察了一下路由器 CPU 使用率很低 10%-20%的样子 考虑想办法整个软路由试试
    littlewing
        29
    littlewing  
       93 天前
    设备支持 ipsec 硬件加速吗
    wm5d8b
        30
    wm5d8b  
       93 天前 via Android
    ipsec 和 wireguard ,哪个更适合 op 的场景?
    我在跨运营商的两台 ROS 间建立 wireguard ,也是这个速度,看了看 CPU 没满
    txydhr
        31
    txydhr  
       93 天前
    自己的问题吧,我能跑 200M
    Yien
        32
    Yien  
       93 天前   ❤️ 1
    mtu 1380 試試
    haffner
        33
    haffner  
       93 天前 via iPhone
    @wm5d8b 两端都有硬件加速就 ipsec ,否则 wireguard
    melsp
        34
    melsp  
       93 天前 via Android
    你都知道 2022 了,应该晓得 ipsec 这种东西的局限性呐
    Achophiark
        35
    Achophiark  
       92 天前
    早前做过两端 ros 站点到站点 vpn ,速度还可以没有瓶颈,其实主要看你连接公司的应用是什么,大数据传递,不如公司建个 webdav ,可跑满带宽的。
    nigelboy
        36
    nigelboy  
    OP
       92 天前 via Android
    @wm5d8b wireguard 还没用过,我尝试下看看
    nigelboy
        37
    nigelboy  
    OP
       92 天前 via Android
    @txydhr 大佬用的是啥环境呢
    Eytoyes
        38
    Eytoyes  
       92 天前   ❤️ 1
    两台 7621 设备,CPU 都超频到 1GHz ,都打开 hwnat ,且处于 nat1 模式:

    L2TP/IPSec 站点到站点模式,SMB 可以跑 30Mbps ,但已经是单核满载了,上传带宽是 40Mbps

    供你参考
    cwbsw
        39
    cwbsw  
       92 天前   ❤️ 1
    非 x86 平台跑 ipsec ,就别用 aes 了,chacha20poly1305 性能会更好,能直接上 wireguard 还要再好。
    txydhr
        40
    txydhr  
       92 天前
    @nigelboy 软路由 softether
    brucebot
        41
    brucebot  
       92 天前   ❤️ 1
    为何不用端到端的新 VPN 呢,这种传统的 VPN 协议,scale 起来太麻烦了

    https://www.v2ex.com/t/862805
    jsq2627
        42
    jsq2627  
       92 天前
    @Eytoyes SMB 协议本身对延迟很敏感,非 lan 的 SMB 很难跑满带宽
    Eytoyes
        43
    Eytoyes  
       92 天前
    @jsq2627 #42 同城延迟很低,几乎就是 1ms ,再次测了一下 FTP 模式,速度没有差异,7621A 先顶不住了,加密算法是 MPPE128

    如果关闭加密,则跑满带宽,而且 CPU 使用率暴降,只有 6%左右
    haojunmei
        44
    haojunmei  
       90 天前   ❤️ 1
    我自己家宽带和朋友校园网建的 L2TP 就很正常,能跑满百兆。建议检查下自己的设备性能,因为 ipsec 这玩意本身就比较吃加解密性能,常见的路由处理器都只能用本身就不强的性能硬抗,所以就导致带宽很低,还有两端的 mtu ,这个我当初测试的时候也会有一点影响性能的。
    bibiisme
        45
    bibiisme  
       88 天前
    @i3x mtk 7620 7622 7621 在 op 那都有 hwnat 的支持
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   904 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 55ms · UTC 21:53 · PVG 05:53 · LAX 14:53 · JFK 17:53
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.