V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
cwbsw
V2EX  ›  路由器

IPsec 疑难杂症,请大家把脉

  •  
  •   cwbsw · 2019-06-10 17:44:35 +08:00 · 3149 次点击
    这是一个创建于 1753 天前的主题,其中的信息可能已经有所发展或是发生改变。
    因为想要从外面存取家里 NAS 上的资料,所以在路由器上跑了个 strongswan 提供 IPsec 服务。
    配置主要是参考 github.com/jawj/IKEv2-setup, 弄好之后看日志一切正常,各种互 ping 也都是通的,公网网页也能打开,但是体感速度很慢,speedtest 测速不到 1Mbps,访问内网服务速度也是很慢,只有几十 KB,在内网机器上抓包看是时断时续的,怀疑是 MTU 不对,但是抓包看报文大小好像又没问题,各种修改 MSS 也无果。刚开始用的机器是 gl-inet-b1300,soc 是 IPQ4028,怀疑是有什么配置冲突了,于是恢复默认设置后重新配置问题依旧,然而奇怪的是完全一样的配置,换了台 MT7621 的 K2P 就正常了,都是最新的 OpenWrt snapshot 版本,所以难不成是硬件或者 Linux 内核驱动的问题?各位有什么线索吗?
    第 1 条附言  ·  2019-07-04 15:40:40 +08:00
    通过安装 strongswan-mod-kernel-libipsec 使 IPsec 加解密由用户进程而非内核模块处理后症状消失,所以可以确定这是特定平台的内核 bug 了。
    第 2 条附言  ·  2019-08-12 22:12:03 +08:00
    实测修改内核 config 文件禁用 CRYPTO_HW 可解决。
    4 条回复    2019-08-12 22:10:37 +08:00
    HEROic
        1
    HEROic  
       2019-06-23 23:58:35 +08:00 via Android
    1Mbps≈128KB/s,所以访问速度就几十 KB 正常的。。 至于这么慢,怀疑是路由器加密性能不行或者你路由那宽带上传慢导致的
    cwbsw
        2
    cwbsw  
    OP
       2019-06-24 09:22:19 +08:00
    @HEROic
    IPQ4028 和 MT7621 基本是同等级的 SoC,后者跑 IPsec 同样配置有将近 50Mbps,而前者除了 IPsec 跑不动,OpenVPN 有 30Mbps,wireguard 能跑 300Mbps。
    另外我测试性能都是在局域网环境进行的,与上传带宽无关。
    flynaj
        3
    flynaj  
       2019-06-24 15:04:11 +08:00 via Android
    换成 zerotier 试试看速度。
    cwbsw
        4
    cwbsw  
    OP
       2019-08-12 22:10:37 +08:00
    有解决办法了,修改内核编译选项,去掉 CRYPTO_HW 即可。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   5051 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 42ms · UTC 09:36 · PVG 17:36 · LAX 02:36 · JFK 05:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.