Симптомы

  • Наблюдаем низкую скорость передачи данных через Site-to-Site VPN
  • У клиентов Remote Access VPN низкая скорость скачивания файлов через туннель

Решение

Для измерения скорости передачи трафика через VPN потребуется настроить утилиту iperf на узлах с двух сторон туннеля, а затем выполнить замеры с указанием количества потоков:

iperf3 -P <cpu_num> -c <iperf3_server_address> (число потоков = число ядер NGFW)

В результате получится список измерений, нас интересуют последние строчки с тегом [SUM]:

[SUM]   0.00-10.01  sec   103 MBytes  85.2 Mbits/sec                 sender
[SUM]   0.00-10.03  sec   100 MBytes  84.7 Mbits/sec                receiver

Эти значения и будут являться текущей скоростью передачи трафика через туннель между двумя хостами. L2TP/IPsec на реальных скоростях приводит к минус 20–40% от максимума канала.

Если скорость действительно низкая, выполните следующие рекомендации:

  1. Отключите модуль fastpath по статье https://sd.usergate.com/articles/14
  2. Сделайте исключения защиты от DoS для внешних IP адресов интерфейсов, которые используются для построения VPN-туннеля. Исключения добавляются в свойствах зоны (например Untrusted), которой принадлежит интерфейс, в разделе Сеть ➜ Зоны.
  3. Уменьшите значение MTU на туннельных интерфейсах до 1384 согласно следующей статье https://docs.usergate.com/nizkaya-skorost6-peredachi-dannyh-v-tunnele-site-to-site-vpn-mezhdu-dvumya-ustrojstvami-usergate_750.html
  4. Попробуйте понизить алгоритмы шифрования в профиле безопасности VPN
  5. При наличии возможности переключите туннель на другого провайдера и замерьте скорость через него

Примечание

Как пример - использование PPPoE на клиенте, которое добавляет дополнительные байты в заголовок.

Проверка эффекта от уменьшения MTU:

  • На клиенте замерить скорость скачивания с интернет через VPN:
curl -4kO https://speedtest.selectel.ru/10MB -x 172.29.255.1:8090

где 172.29.255.1 - адрес туннельного интерфейса на сервере

  • Можно не меняя MTU на туннельном интерфейсе, изменить на клиенте MSS для сервера: 
ip ro add 172.29.255.1 dev tunnel3 advmss 1360
  • отменить изменение MSS: 
ip ro del 172.29.255.1 dev tunnel3 advmss 1360
  • Проверить скорость после изменений (повторная проверка показала рост скорости в 30+ раз)