V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Darkinners
V2EX  ›  宽带症候群

怎样防止 IPSec 干扰?

  •  
  •   Darkinners · 2016-06-16 16:05:07 +08:00 · 913 次点击
    这是一个创建于 3115 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我用一对居易的 2960 及 2950 在深圳跟香港建了 site to site IPSec(AES256 SHA-1) 通道.
    最近一直被 GFW 干扰.
    他不会断网, 又不会封掉你的端口或 IP.但就弄到速度超级慢.

    干扰特证都是.
    - IPSec 刚连上时 throughput 超过 70mbps (深圳电信 100m/香港 PCCW500m)
    - 用没多久 throughput 掉到 7-8mbps, 再用一下掉到 200kbps.
    - 换過一组深圳电信 IP 或香港 IP 或改用域名连接, 又回复 70mbps.
    - 用没多久又变超级慢。


    这应该是 GFW 干扰吧?请问各位老师机有没有办发解决?
    不想用 SS, 需要全局 site to site 的.
    先谢过!
    13 条回复    2016-07-14 12:51:36 +08:00
    mandymak
        1
    mandymak  
       2016-06-16 17:15:06 +08:00
    @Darkinners 只能用另类方法。
    kennylam777
        2
    kennylam777  
       2016-06-16 17:32:07 +08:00
    這種情況無解,放棄使用一般的 VPN 吧,用 SS 掛個 OpenVPN 都比直接用 IPSec 好。
    Zeact
        3
    Zeact  
       2016-06-16 23:56:01 +08:00 via Android
    持续多久 70mbps 会掉速?也有可能是电信问题吧,我移动 50Mbps 和国外 vps 建 ipsec ,我测过通过隧道满速下载 3 , 4 分钟,长时间看 4k 2k 视频啥的,没观察到掉速现象。和你一样也是 AES256 sha1 , site to site psk 模式。 对了你可以尝试下把隧道的 MTU 调小 11xx 之类的,之前碰到过默认 1400 速度上来十几秒以后就掉速到几乎 0 的情况。
    kennylam777
        4
    kennylam777  
       2016-06-17 00:46:06 +08:00 via Android
    @Zeact 移動牆對大流量的不明流量沒那麼敏感,電信 ChinaNet 牆是最麻煩的一個,看我的帖子,兩家都在用。

    樓主,能上移動就移動,電信用一般 VPN 沒好結果。
    MikuM97
        5
    MikuM97  
       2016-06-17 01:35:16 +08:00
    不一定是 qiang ,可能是电信的 qos 规则,毕竟普通宽带的 qos 优先级太低。可以考虑上 cn2 转发或者移动的线路试试。 ipsec 在握手的时候都是明文交换参数,要是墙存心玩你你隧道都起不来的。
    mandymak
        6
    mandymak  
       2016-06-17 10:33:00 +08:00
    @Zeact 好奇你移动没公网 IP 怎么建 Site to Site IPSec ?
    kennylam777
        7
    kennylam777  
       2016-06-17 11:56:09 +08:00
    @mandymak NAT-T 模式下可以跑 UDP 4500
    AII
        8
    AII  
       2016-06-17 12:18:55 +08:00 via Android
    @kennylam777 联通的墙才是最扯淡的,直接限制端口。例如 AWS-S3 , 80 端口一切正常,但 443 就 100 %丢包。这对于 VPN 这种指定端口的是致命打击。
    kennylam777
        9
    kennylam777  
       2016-06-17 14:43:20 +08:00
    @AII 這個聯通牆我也有體驗,連一會 SSL VPN 就整個 IP 封掉,以前用天威時領教過....
    zzlyzq
        10
    zzlyzq  
       2016-06-17 15:08:02 +08:00
    兄弟, 我们之前的场景和你差不多,根据我们的经验,多半是因为 TCP 的机制在广域网的时候会有性能问题。 我们后来采用 https://sourceforge.net/projects/tsunami-udp/ , 这个软件 速度不错,基本可以把公网口打满。

    不过需要注意, tsunami-udp + ipsec 效果最好, 如果没有 ipsec 的包裹, 多半传起来就会失败,或者中途卡住。

    还有另外一个方案,可以采用 btsync 进行。

    以上是大量数据进行传输,如果是控制链路, 那么一点点带宽也是足够了的。
    Darkinners
        11
    Darkinners  
    OP
       2016-07-05 09:20:53 +08:00
    感谢各位帮忙解答! 之前不知道为什么进不之自己这个贴不能回覆感谢各位帮忙。

    我实在不知道是否被 qiang. 到上星期情况更差
    现在只剩下 SSL 能正常建立 VPN 通道.
    IPSec 能连接通道但疯狂掉包, 速度只有 0.4-5KB/s. 根本不能使用.
    IPSec site to site, 之前一直用了 2 年都没什么大问题, 直至 6 月中旬开始就怪怪的.
    Darkinners
        12
    Darkinners  
    OP
       2016-07-05 09:22:46 +08:00
    @Zeact 我之前试过了。调小 MTU (原设 1360) 调小到 1160 也没有改善
    Siril
        13
    Siril  
       2016-07-14 12:51:36 +08:00
    换移动线路;

    用一对 cisco 892 (二手的 500 块钱), dmvpn 走起, 仅需要一侧有公网 ip 即可。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3220 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 12:05 · PVG 20:05 · LAX 04:05 · JFK 07:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.