Какие могут быть причины низкой скорости передачи данных при использовании IPsec-клиента на MikroTik для соединения с сервером Strongswan на VPS?

Question

Bella

mikrotik , vpn

Какие могут быть причины низкой скорости передачи данных при использовании IPsec-клиента на MikroTik для соединения с сервером Strongswan на VPS?

Я настроил сервер Strongswan на VPS. При подключении с Windows или Android скорость соединения отличная. Однако, когда я пытался подключиться через мой маршрутизатор Mikrotik hEX S, столкнулся с проблемой скорости. В NAT я настроил следующее:  
/ip firewall nat add chain=srcnat action=srcnat src-address-list=local dst-address-list=to-vpn to-addresses="выданный Strongswan-сервером адрес".  
Подключения из списка "to-vpn" работают через VPN, но скорость очень низкая. Например, на speedtest скорость падала до 1-2 Мбит/с, в то время как ресурсы роутера практически не загружены.  
Какие могут быть причины низкой скорости соединения?

25 сентября 2024 г. 15:33

Ответы на вопрос 1

Похожие вопросы

Answer 1

Существует несколько факторов, которые могут влиять на скорость передачи данных при использовании IPsec на MikroTik. Вот список наиболее вероятных причин и рекомендации для диагностики и оптимизации:

1. **Настройки MTU и MSS:**
- Проверьте, правильно ли настроены MTU и MSS (Maximum Segment Size). IPsec предполагает дополнительный заголовок, что может привести к фрагментации пакетов. Попробуйте установить MTU на 1400 или 1300 и измените MSS на 1360 (или еще меньше). Чтобы изменить MSS, можно использовать правила в Firewall, например:
```bash
/ip firewall mangle
add chain=forward protocol=tcp tcp-flags=syn action=change-mss new-mss=1360 passthrough=yes
```

2. **Шифрование и производительность роутера:**
- MikroTik, особенно старые модели, может испытывать проблемы с производительностью при шифровании. Проверьте, не перегружен ли процессор устройства при использовании IPsec. Если ваш MikroTik поддерживает аппаратное ускорение для шифрования, убедитесь, что оно включено.

3. **Параметры шифрования:**
- Попробуйте использовать разные алгоритмы шифрования. Некоторые более тяжелые алгоритмы могут значительно снизить скорость из-за нагрузки на процессор. Попробуйте использовать более легкие (например, AES вместо AES-GCM).

4. **QoS и трафик:**
- Проверьте настройки QoS (Quality of Service) и ребалансировку трафика. Возможно, ваш маршрутизатор неправильно управляет нагрузкой на канале.

5. **Проблемы с NAT:**
- Убедитесь, что NAT работает корректно. Неверные правила NAT могут добавлять задержку или неправильно обрабатывать пакеты. Возможно, стоит попробовать разные подходы к NAT или использовать «IPsec passthrough».

6. **MTU Path Discovery:**
- Проверьте, как клиенты и сервер обрабатывают PMTUD (Path Maximum Transmission Unit Discovery). Иногда ваши настройки могут быть несовместимы и приводить к неэффективному использованию канала.

7. **Обновление ПО:**
- Убедитесь, что на MikroTik и Strongswan установлены последние обновления и исправления. Обновления могут содержать оптимизации и исправления для IPsec.

8. **Логи и диагностика:**
- Активируйте логирование на MikroTik, чтобы проверить, нет ли неполадок с соединением. Анализируйте логи на предмет ошибок и задержек.

9. **Проверка на внешней стороне:**
- Запустите тесты скорости без IPsec, чтобы убедиться, что проблема связана именно с туннелированием, а не с внешней сетью или VPS.

10. **Использование альтернативных WAN:**
- Если возможно, протестируйте соединение через разные WAN-подключения, чтобы исключить влияние провайдеров.

Если после проверки всех этих моментов проблема сохраняется, может быть полезно обратиться к специалисту или к форумам MikroTik для получения более целенаправленной помощи.