IPsec 疑难杂症,请大家把脉

2019-06-10 17:44:35 +08:00
 cwbsw
因为想要从外面存取家里 NAS 上的资料,所以在路由器上跑了个 strongswan 提供 IPsec 服务。
配置主要是参考 github.com/jawj/IKEv2-setup, 弄好之后看日志一切正常,各种互 ping 也都是通的,公网网页也能打开,但是体感速度很慢,speedtest 测速不到 1Mbps,访问内网服务速度也是很慢,只有几十 KB,在内网机器上抓包看是时断时续的,怀疑是 MTU 不对,但是抓包看报文大小好像又没问题,各种修改 MSS 也无果。刚开始用的机器是 gl-inet-b1300,soc 是 IPQ4028,怀疑是有什么配置冲突了,于是恢复默认设置后重新配置问题依旧,然而奇怪的是完全一样的配置,换了台 MT7621 的 K2P 就正常了,都是最新的 OpenWrt snapshot 版本,所以难不成是硬件或者 Linux 内核驱动的问题?各位有什么线索吗?
3178 次点击
所在节点    路由器
4 条回复
HEROic
2019-06-23 23:58:35 +08:00
1Mbps≈128KB/s,所以访问速度就几十 KB 正常的。。 至于这么慢,怀疑是路由器加密性能不行或者你路由那宽带上传慢导致的
cwbsw
2019-06-24 09:22:19 +08:00
@HEROic
IPQ4028 和 MT7621 基本是同等级的 SoC,后者跑 IPsec 同样配置有将近 50Mbps,而前者除了 IPsec 跑不动,OpenVPN 有 30Mbps,wireguard 能跑 300Mbps。
另外我测试性能都是在局域网环境进行的,与上传带宽无关。
flynaj
2019-06-24 15:04:11 +08:00
换成 zerotier 试试看速度。
cwbsw
2019-08-12 22:10:37 +08:00
有解决办法了,修改内核编译选项,去掉 CRYPTO_HW 即可。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/572547

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX