V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
nigelboy
V2EX  ›  宽带症候群

关于 L2TP/ipsec 协议

  •  
  •   nigelboy · 2022-07-01 15:08:10 +08:00 · 5897 次点击
    这是一个创建于 881 天前的主题,其中的信息可能已经有所发展或是发生改变。

    在家和公司间建了一个 L2TP/ipsec 链路,速度只能跑到 2-3MB 。都 22 年了,隧道协议竟然还有这样的瓶颈

    45 条回复    2022-07-06 11:58:14 +08:00
    CnpPt
        1
    CnpPt  
       2022-07-01 15:16:14 +08:00
    不找自己问题吗
    nigelboy
        2
    nigelboy  
    OP
       2022-07-01 15:21:06 +08:00
    @CnpPt 应该不是吧 换了其他方式尝试 速度都挺正常的
    sypopo
        3
    sypopo  
       2022-07-01 15:21:53 +08:00
    我软路由上建的,可以跑满带宽。
    yyysuo
        4
    yyysuo  
       2022-07-01 15:25:20 +08:00
    你上传只有 30M 吧。
    nigelboy
        5
    nigelboy  
    OP
       2022-07-01 15:27:53 +08:00
    @sypopo 还真有可能是路由器的坑 我用了个 H3C 的路由器 查了一下 ipsec 的吞吐量只有 40Mb
    nigelboy
        6
    nigelboy  
    OP
       2022-07-01 15:28:33 +08:00
    @yyysuo 千兆宽带 测试最差也有个一百兆的样子
    i3x
        7
    i3x  
       2022-07-01 15:28:51 +08:00 via Android
    @nigelboy 是不是设备性能不高?
    虽然 500 4500 的 udp 端口特殊。不过目前我是没感觉 qos 。。。

    对于部分地区的移动客户端的数据统计。。。我发现阿里云也并不是非常完美。。。晚高峰还是会卡表现得像服务器带宽满载。不过至少能连接了。。。不愧是移动,总让人时不时的重温 gprs 的感动。
    Scarletlens
        8
    Scarletlens  
       2022-07-01 15:30:20 +08:00
    家里宽带的上行我记得默认是 50Mb
    i3x
        9
    i3x  
       2022-07-01 15:31:42 +08:00 via Android
    @nigelboy 果然。。。你用的这种硬路由。肯定是了。这种需求不是这些低端玩意儿能吃得消的。你可以试一些不协商不握手不加密的隧道。比如 pptp 加预共享密钥。
    joshu
        10
    joshu  
       2022-07-01 15:33:03 +08:00
    不是所有路由器都能对这个做加速的,ubnt erx 跑 ipsec 就只位个位数 MB 的速度
    要速度找个 x86 软路由挂上
    neroanelli
        11
    neroanelli  
       2022-07-01 15:35:09 +08:00
    你两边网络上下行对等吗?都是几百兆?
    springz
        12
    springz  
       2022-07-01 15:51:15 +08:00
    哈哈,大家都在说查上传,还是查下吧。即使是家用给的千兆宽带,上行一般最多 50 Mbps ,换算过来差不多最理想情况下 6 MB 。
    i3x
        13
    i3x  
       2022-07-01 15:57:20 +08:00 via Android
    @neroanelli 楼主说了,换了其他方式都正常。原因无非是性能不够。
    @joshu 因为没有相关的加速电路。没有芯片。。。。就像硬盘录像机,那些监控的 cpu 还不如 10 年前的无线路由器 soc ,但是啥都是专用芯片。一个影像芯片用于接收 265 码流,一个用于回放。sata 桥还是特定的芯片。也有的方案芯片一体了,内部逻辑还是这样。毕竟功能单一。

    er-x 的 7621 调度方式我个人更愿意把他当成软路由。。。。小包 pps 感人,且连接数也带不动多少。

    我个人的区分软路由硬路由的依据:数据包被预定义的逻辑线速转发,就是硬路由。例如三层交换机的实现方式。数据包要经过 cpu 多次打捞才发出,就是软路由。软硬路由从来不是看硬件组成的。D1581 这玩意儿好像本质就是为交换机设计的?
    yyysuo
        14
    yyysuo  
       2022-07-01 16:00:16 +08:00
    我用 7100u 的软路由,同样的协议,用 docker 搭的,能跑满我 100M 的上传。
    thtznet
        15
    thtznet  
       2022-07-01 16:01:49 +08:00
    你路由直接 AES 加密么?你不会用的是家用路由连的吧?
    springz
        16
    springz  
       2022-07-01 16:06:01 +08:00
    @i3x @joshu 不一样的,er-x 有 hwnat ,ubnt 花钱买的。我也是 er-x 主路由扔弱电箱。实测 ipsec 开 hwnet 100Mbps 没啥问题,超过运营商给的上传带宽。开了 hwnet pppoe 也基本不占用 CPU 。260 kpps for 64‑byte packets and 1 Gbps for 1518-byte packets 性能不错了。不是千兆以上宽带完全没问题。
    springz
        17
    springz  
       2022-07-01 16:11:56 +08:00
    ipsec 也是非对称加密交换,建立连接后就都是对称加密了,最垃圾的家用路由也没啥问题的。只需要看 nat 是软的还是硬的。
    springz
        18
    springz  
       2022-07-01 16:14:42 +08:00
    有些家用路由没有针对 ipsec 的 hw offload ,但是 2-3MB 的话也不至于,还是查运营商给了多少上传带宽吧,合理怀疑运营商只给了 30Mbps 。
    i3x
        19
    i3x  
       2022-07-01 16:22:24 +08:00 via Android
    @springz ipsec 是重 cpu 的行当。mips arm 什么的真的干不动,如果没有专用芯片还是得 x86 力大飞砖。
    我知道 er-x 有 hwnat 。。。7621 的 hwnat 在 op 阵营好像是唯一的独苗,让互联网路由器把 openwrt 推入寻常人家的 7620a 都木有这能力。。

    一旦有什么特殊的需要,er-x 的原系统会迅速放弃硬件加速路由,还不如 openwrt 。。。所以我觉得这玩意儿很鸡肋。。。但是这体积我又很喜欢。。。。。
    可以说:简单 nat 功能的网管交换机,或者 7621 芯片的软路由。

    @thtznet ipsec 还不一定是 aes 。选择多了。楼主帖子里已经表述了是 h3c 的路由器,要么是民用的,要么是企业入门级的。。。这种玩意儿么。。。性能自然就是渣渣。没有针对特殊处理的话,就是 cpu 硬抗。cpu 不是单功能专一的
    deplivesb
        20
    deplivesb  
       2022-07-01 16:48:33 +08:00
    你确定不是自己的问题么?
    yc8332
        21
    yc8332  
       2022-07-01 17:16:33 +08:00
    你宽带上传多少带宽啊。家用最高也就 50M ,正常都是只有 20-30M 而已。。这个完全取决于你家的宽带
    huaes
        22
    huaes  
       2022-07-01 17:17:21 +08:00
    应该还是路由器硬件问题,对加解密支持不好,华硕 AX86U AES 加密性能就到两百兆左右,最后还是换 PPTP 了
    Illusionary
        23
    Illusionary  
       2022-07-01 17:17:32 +08:00
    我们公司就在用 ipsec ,没你说的问题
    JoeoooLAI
        24
    JoeoooLAI  
       2022-07-01 17:22:48 +08:00
    试过群晖和 ros 的 l2tp 均能跑慢 100m 上传,可能是设备 ipsec 性能问题?
    springz
        25
    springz  
       2022-07-01 17:34:45 +08:00
    等楼主公布宽带上传带宽吧,然后再具体分析。
    nigelboy
        26
    nigelboy  
    OP
       2022-07-01 17:38:03 +08:00
    @i3x 用物理机 映射端口也不太行 有点奇怪
    nigelboy
        27
    nigelboy  
    OP
       2022-07-01 17:40:27 +08:00
    @neroanelli
    @springz 测了上传能跑到百兆 差的时候也有七八十兆
    nigelboy
        28
    nigelboy  
    OP
       2022-07-01 17:50:48 +08:00
    家里是在淘的一个 H3C 路由上直接开的服务 看各位大佬讨论越发觉得机器不行 之前特地观察了一下路由器 CPU 使用率很低 10%-20%的样子 考虑想办法整个软路由试试
    littlewing
        29
    littlewing  
       2022-07-01 17:53:18 +08:00
    设备支持 ipsec 硬件加速吗
    wm5d8b
        30
    wm5d8b  
       2022-07-01 18:30:10 +08:00 via Android
    ipsec 和 wireguard ,哪个更适合 op 的场景?
    我在跨运营商的两台 ROS 间建立 wireguard ,也是这个速度,看了看 CPU 没满
    txydhr
        31
    txydhr  
       2022-07-01 19:05:54 +08:00
    自己的问题吧,我能跑 200M
    Yien
        32
    Yien  
       2022-07-01 20:55:23 +08:00   ❤️ 1
    mtu 1380 試試
    haffner
        33
    haffner  
       2022-07-01 22:28:10 +08:00 via iPhone
    @wm5d8b 两端都有硬件加速就 ipsec ,否则 wireguard
    melsp
        34
    melsp  
       2022-07-01 23:32:06 +08:00 via Android
    你都知道 2022 了,应该晓得 ipsec 这种东西的局限性呐
    Achophiark
        35
    Achophiark  
       2022-07-02 09:07:11 +08:00
    早前做过两端 ros 站点到站点 vpn ,速度还可以没有瓶颈,其实主要看你连接公司的应用是什么,大数据传递,不如公司建个 webdav ,可跑满带宽的。
    nigelboy
        36
    nigelboy  
    OP
       2022-07-02 09:32:43 +08:00 via Android
    @wm5d8b wireguard 还没用过,我尝试下看看
    nigelboy
        37
    nigelboy  
    OP
       2022-07-02 09:34:06 +08:00 via Android
    @txydhr 大佬用的是啥环境呢
    Eytoyes
        38
    Eytoyes  
       2022-07-02 11:28:00 +08:00   ❤️ 1
    两台 7621 设备,CPU 都超频到 1GHz ,都打开 hwnat ,且处于 nat1 模式:

    L2TP/IPSec 站点到站点模式,SMB 可以跑 30Mbps ,但已经是单核满载了,上传带宽是 40Mbps

    供你参考
    cwbsw
        39
    cwbsw  
       2022-07-02 11:47:56 +08:00   ❤️ 1
    非 x86 平台跑 ipsec ,就别用 aes 了,chacha20poly1305 性能会更好,能直接上 wireguard 还要再好。
    txydhr
        40
    txydhr  
       2022-07-02 13:01:44 +08:00
    @nigelboy 软路由 softether
    brucebot
        41
    brucebot  
       2022-07-02 13:15:14 +08:00   ❤️ 1
    为何不用端到端的新 VPN 呢,这种传统的 VPN 协议,scale 起来太麻烦了

    https://www.v2ex.com/t/862805
    jsq2627
        42
    jsq2627  
       2022-07-02 14:50:26 +08:00
    @Eytoyes SMB 协议本身对延迟很敏感,非 lan 的 SMB 很难跑满带宽
    Eytoyes
        43
    Eytoyes  
       2022-07-02 15:23:03 +08:00
    @jsq2627 #42 同城延迟很低,几乎就是 1ms ,再次测了一下 FTP 模式,速度没有差异,7621A 先顶不住了,加密算法是 MPPE128

    如果关闭加密,则跑满带宽,而且 CPU 使用率暴降,只有 6%左右
    haojunmei
        44
    haojunmei  
       2022-07-05 02:49:30 +08:00   ❤️ 1
    我自己家宽带和朋友校园网建的 L2TP 就很正常,能跑满百兆。建议检查下自己的设备性能,因为 ipsec 这玩意本身就比较吃加解密性能,常见的路由处理器都只能用本身就不强的性能硬抗,所以就导致带宽很低,还有两端的 mtu ,这个我当初测试的时候也会有一点影响性能的。
    bibiisme
        45
    bibiisme  
       2022-07-06 11:58:14 +08:00
    @i3x mtk 7620 7622 7621 在 op 那都有 hwnat 的支持
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3090 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 14:43 · PVG 22:43 · LAX 06:43 · JFK 09:43
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.