VPN
Назад

#87: Низкая скорость передачи трафика через VPN

Симптомы

  • Наблюдаем низкую скорость передачи данных через Site-to-Site VPN
  • У клиентов Remote Access VPN низкая скорость скачивания файлов через туннель

Решение

Для измерения скорости передачи трафика через VPN потребуется настроить утилиту iperf на узлах с двух сторон туннеля, а затем выполнить замеры с указанием количества потоков:

iperf3 -P <cpu_num> -c <iperf3_server_address> (число потоков = число ядер NGFW)

В результате получится список измерений, нас интересуют последние строчки с тегом [SUM]:

[SUM]   0.00-10.01  sec   103 MBytes  85.2 Mbits/sec                 sender
[SUM]   0.00-10.03  sec   100 MBytes  84.7 Mbits/sec                receiver

Эти значения и будут являться текущей скоростью передачи трафика через туннель между двумя хостами. L2TP/IPsec на реальных скоростях приводит к минус 20–40% от максимума канала.

Если скорость действительно низкая, выполните следующие рекомендации:

  1. Отключите модуль fastpath по статье https://sd.usergate.com/articles/14
  2. Сделайте исключения защиты от DoS для внешних IP адресов интерфейсов, которые используются для построения VPN-туннеля. Исключения добавляются в свойствах зоны (например Untrusted), которой принадлежит интерфейс, в разделе Сеть ➜ Зоны.
  3. Уменьшите значение MTU на туннельных интерфейсах до 1384 согласно следующей статье https://docs.usergate.com/nizkaya-skorost6-peredachi-dannyh-v-tunnele-site-to-site-vpn-mezhdu-dvumya-ustrojstvami-usergate_750.html
  4. Попробуйте понизить алгоритмы шифрования в профиле безопасности VPN
  5. При наличии возможности переключите туннель на другого провайдера и замерьте скорость через него
  6. Имеется возможность проверить скорость передачи файлов по SMB через VPN туннель без влияния провайдера. Для этого создайте новое правило VPN в сторону локальной сети (соединения Site-to-Site между двумя NGFW и Remote Access VPN поднимаются аналогично по L2TP/IPsec), создайте правило NAT для данного соединения, чтобы ответные пакеты также шли через туннель. Подключите одну машину из локальной сети к VPN и попробуйте загрузить файл, затем отключитесь от VPN и еще раз выполните загрузку.

Рекомендация

  • По какой причине наблюдается низкая скорость передачи файлов по SMB?

SMB работает совсем по-другому, чем iperf, он гораздо тяжелее для VPN-туннеля. Протокол SMB с многоступенчатым подтверждением, если ping через VPN хотя бы 20-40 ms, скорость по SMB резко падает, а если имеется джиттер или минимальная потеря, падение ещё сильнее. iperf качает данные потоками, без сложной логики, и при тестировании в несколько потоков показывает максимальную скорость туннеля. SMB же обычно качает в 1 поток, и при больших RTT (времени приема-передачи) скорость падает кратно. У L2TP/IPSec реальный MTU составляет 1360–1400, но SMB пакеты крупные, при фрагментировании скорость сильно падает. Итого:

  • SMB плохо работает при задержке + L2TP/IPsec
  • MTU слишком низкий, проблема фрагментации
  • Один поток TCP

Так как в рамках L2TP/IPSec значительно изменить ситуацию в лучшую сторону не получится, даже путём понижения алгоритмов шифрования, имеется следующий вариант решения - переход на GRE over IPSec или IKEv2.

GRE over IPSec обычно даёт прирост скорости по сравнению с L2TP/IPSec на 20-40%, а IKEv2 ещё больше - до 50-70%.

  • L2TP/IPSec это самый тяжёлый и старый вариант реализации VPN туннеля (двойная инкапсуляция, низкий MTU, проблемы фрагментации), в результате получается просадка 30–50% от всей ширины канала.
  • GRE over IPSec это одна инкапсуляция + чистый IPSec, проще MTU, стабильнее пропускная способность.
  • IKEv2 это чистый IPSec без лишних протоколов.

Примечание

Как пример - использование PPPoE на клиенте, которое добавляет дополнительные байты в заголовок.

Проверка эффекта от уменьшения MTU:

  • На клиенте замерить скорость скачивания с интернет через VPN:
curl -4kO https://speedtest.selectel.ru/10MB -x 172.29.255.1:8090

где 172.29.255.1 - адрес туннельного интерфейса на сервере

  • Можно не меняя MTU на туннельном интерфейсе, изменить на клиенте MSS для сервера: 
ip ro add 172.29.255.1 dev tunnel3 advmss 1360
  • отменить изменение MSS: 
ip ro del 172.29.255.1 dev tunnel3 advmss 1360
  • Проверить скорость после изменений (повторная проверка показала рост скорости в 30+ раз)
Обновлена: 3 дек. 2025 г.

#256: VPN со сторонними решениями

Симптомы

  • Не строится VPN с Cisco, ASA, FortiGate, CheckPoint, NSX Edge, С-терра, MikroTik
  • Возможно ли настроить UserGate NGFW как VPN-сервер для Site-to-Site VPN IPsec?

Решение

Cisco:
https://docs.usergate.com/nastrojka-site-to-site-vpn-mezhdu-usergate-i-cisco_40.html
https://docs.usergate.com/nastrojka-gre-over-ipsec-mezhdu-usergate-i-cisco_47.html
https://docs.usergate.com/nastrojka-vpn-tunnelya-mezhdu-usergate-ngfw-i-cisco-asr1002-x_729.html
https://docs.usergate.com/oshibki-pri-vzaimodejstvii-usergate-i-cisco-asa_50.html

FortiGate:
https://docs.usergate.com/nastrojka-vpn-soedineniya-mezhdu-usergate-i-fortigate_43.html

CheckPoint:
https://docs.usergate.com/nastrojka-vpn-tunnelya-mezhdu-usergate-ngfw-i-checkpoint_730.html

NSX Edge:
https://docs.usergate.com/nastrojka-vpn-tunnelya-mezhdu-usergate-i-nsx-edge_697.html

S-Terra:
https://docs.usergate.com/nastrojka-ipsec-tunnelya-mezhdu-s-terra-gate-i-usergate-ngfw_104.html

MikroTik:
https://docs.usergate.com/nastrojka-routera-mikrotik-dlya-ustanovki-vpn-soedineniya-s-usergate_41.html

Linux:
https://docs.usergate.com/nastrojka-ipsec-vpn-tunnelya-mezhdu-usergate-i-linux-serverom_564.html

Настроить VPN между NGFW и другими решениями возможно несколькими способами:

  1. L2TP\IPSec, в котором NGFW выступает в роли сервера. UserGate в роли клиента может выступать только при подключении к другому UserGate, исходящее подключение к другим вендорам работать не будет, по этому поводу задача SUM-11122, которая пока в работе.
  2. На 6 версии NGFW для соединения Site-to-Site VPN IPsec возможно использовать только в качестве VPN-клиента.
    Начиная с версии 7.1 реализована возможность NGFW выступать в роли сервера IPSec IKEv1 (SUM-3300, DIS-64)
  3. GRE over IPSec, из доступных есть инструкция на примере Cisco - https://docs.usergate.com/nastrojka-gre-over-ipsec-mezhdu-usergate-i-cisco_47.html

Примечание

Все инструкции взаимодействия с внешними решениями:
https://docs.usergate.com/vzaimodejstvie-so-storonnimi-resheniyami-668

Обновлена: 17 дек. 2025 г.
Всего результатов: 2
КонфиденциальностьУсловия использования
© 2024 ООО «Юзергейт»
Платформа для техподдержки Swarmica
© 2023 - 2026 ООО «Свормика». Swarmica - Платформа управления знаниями и ресурсами техподдержки. Версия: 5.7.2