Problém s rychlostí VPN a PacketLosem chyba v MTU/MRU?

theitman

Zdravím, řeším problém se kterým si už nevím rady (vše mikrotik)
Mám hlavní router (GATEWAY), který obsahuje dvě konektivity obě realizované pomocí PPPoE, WAN1 MTU 1480 a WAN2 MTU 1492
Přes obě konektivity tlačím L2TP/IPSEC tunel (MTU 1450) na VPN Koncentrátor na kterém běží L2TP/IPSEC Server, ke kterému se připojují klienti (routery poboček / MTU 1450)
Problém je, že klasický ping z windows se chová naprosto OK, dochází ale k problémům s rychlostí a ztrátovostí sítě.
Příklad 1, ping GATEWAY--> Klient 11ms, přenos dat do 1Mbit, Vzdálená plocha se nespojí, síťové jednotky se otevírájí několik minut. v momentě kdy udělám speedtest Klient --> Gateway (Klasický btest) tak ping vystřelí k 600ms a btest nenaměří nic ukazuje 0/0b , pokud v terminálu pustím ping s větším MTU např 1000 tak tenhle ping po dobu speedtestu timeoutuje po ukončení speedtestu se ping vrací na cca 15ms, zajímavé je, že pokud oba pingy běží soubežně tak "obyčejný" ping vždy projde zatímco ping se zvýšeným mtu vždy vypadne při jakémkoliv větším přenosu dat
Příklad 2. Chci se winboxem připojit ke klientovy. Pomocí IP Adresy ze strany vpn tunelu, otevře se winbox, ale nezobrazují se žádá data z routeru, po chvíli winbox spadne (disconnect), pokud použiju interní ip toho klienta (tedy tu kterou přes VPN routuji aby byla dostupná z gateway, tak je vše OK

U všech klientů když udělám speedtest Klient --> VPN tak naměřená rychlost víceméně odpovídá rychlosti konektivity,(30-200M), stejně tak jako GATEWAY--> VPN naměří 200/200. Všichni klienti mají svoji vlastní konektivitu (tj 0../0 nejde do VPN). Firewall provoz neblokuje. mangle se žádný nedělá.
Mezi těmi dvěma L2TP na GATEWAY je OSPF kvůli redundanci

Napadá mě, chyba v MTU, jak by mělo být správně nastaveno mezi Gateway --> VPN kde se tlačí L2TP over PPPoE a jak u klientů? tak aby byla možná bezproblémová komunikac: SERVER>GATEWAY-->VPN Koncentrátor --> Klienti?

Nebo kde jinde by mohl být problém? Není to žádná složitá síť 7 VPN klientů s každého routované jeden nebo dva rozsahy na VPN Koncentrátor odkud si to na GATEWAY routuje samo OSPF.
Za každou radu budu vděčný protože za chvíli budu asi úplně bez vlasů 😉. Díky

EDIT1: pokud měřím z PC za klientem proti LibreSpeed na serveru za GTW tak měřím v2-4Mbit a 50ms cca

PatPat

theitman ahoj, podarilo se to prosim nejak vyresit? Mam stejny problem u klienta L2tp Vpn pripojeneho pres PPOE. Dekuji

justme

Ahoj, zkusím v bodech:

máš ověřené u WAN (1/2), že MTU je OK?
u IPSEC over L2TP bych dal menší MTU (1400), protože si myslím, že to bude mít dalších 40b, takže se to tam nemusí vejít
Co bych ale udělal jinak - vidím potenciál vyměnit ipsec za GRE (nutný nižší výkon), kvůli docela šikovné možnosti zvětšit tím MTU
Druhý důvod GRE - přes tyto 2 vpn by se dal natáhnout třeba bonding. Pokud ale nejde o pásmo přes VPN, tak nemá smysl
Při zvýšení pingu je nutné udělat zátěž + traceroute a hledat, kde to zaškobrtává a prodlužuje se ten ping