Auteur Sujet: Débit bridé en offre "pro" sur ipsec ? (Lu 2537 fois)

guldil · « **le:** 29 novembre 2018 à 14:48:35 »

Bonjour,

J'essaie de savoir si il y a une limite au débit par Orange sur les lignes FTTH pour les tunnels IPSEC (ou chez OVH).
Je vais essayer d’être le plus synthétique tout en vous donnant les informations les plus précises.

J'ai un abonnement "PRO" en 1Gbit / 300 avec IP Fixe. (PRO = Grand Public avec du HT...)

Tout d'abord, les débits sont normaux avec NPERF & OVH (du 800 - 900 / 300).

Derrière ma Livebox Pro V4, il y a un PFSENSE 2.3.5 qui gère l’accès internet et qui montent plusieurs tunnels IPSEC avec mon infra OVH, une autre ligne FTTH Orange etc...

Pour le bench, je teste mon tunnel IPSEC monté vers un PFSENSE 2.3.4 chez OVH (connectivité réseau en 10Gb, BP garantie de 1Gbit)

Je teste avec IPERF3.

Au départ, mon PFSENSE ne supportait pas AES-NI, j'ai donc changé de modèle, je suis alors passé de 60Mbit à 115Mbit/s

Et là je plafonne, impossible de passer les 115Mbit.

Si je regarde le CPU, c'est tout bon, en local je suis a 3%, sur le distant à 10-15%.

C'est un peu "technique" comme question et je n'essaie même pas d'appeler Orange...

Mon idée c'est que mon IP Fixe me bride tout comme elle me mange mon ping à faire le tour de france pour sortir...

Merci si un expert sait quelque chose à ce sujet.

Gudlil

DamienC · « **Réponse #1 le:** 29 novembre 2018 à 15:25:19 »

Tu as besoin de chiffrement?
Un tunnel GRE bouffe bcp moins de perf, mais c'est pas chiffré.

Sinon pour répondre à ta question, je ne pense pas qu'Orange limite le débit sur l'IPSec. C'est techniquement compliqué et en plus il n'y aurait aucun intérêt pour Orange de faire cela.

Si tu lances plusieurs transferts en même temps au travers du tunnel, ça monte un peu plus haut ou pas?

guldil · « **Réponse #2 le:** 29 novembre 2018 à 17:22:56 »

Bon je pense vous avoir ennuyé pour rien, il semble bien que le souci soit coté OVH.

En fait de base un iperf vers OVH, je dépasse pas les 115 Mbit alors que vers un autre serveur hors OVH pas de souci.

De plus au moins 3 personnes m'ont confirmé avoir ce souci de débit IPSEC vers OVH...

Et si je multiplie avec l'option -P, je vois que j'ai X fois les 115 Mbit (mais pas dans le tunnel IPSEC qui lui même est bridé à 115 Mbit).

petrus · « **Réponse #3 le:** 29 novembre 2018 à 21:29:46 »

Citation de: guldil le 29 novembre 2018 à 14:48:35

Mon idée c'est que mon IP Fixe me bride tout comme elle me mange mon ping à faire le tour de france pour sortir...

C'est fini l'époque où les LNS pour les ip fixes étaient en province. Désormais tous les LNS sont en IDF, et donc l'overhead en latence est minime. Certes pour du traffic local vers un autre abonné Orange non-ip fixe ça demande de remonter sur Paris avant de redescendre, mais ça représente moins d'une 20aine de ms.

En termes de performance il faut faire attention en ip fixe à garder une mtu limitée, qui doit être de mémoire de 1472 (8 de pppoe, 20 de l2tp). A vérifier derrière la livebox avec ping en jouant sur les options du bit DF. C'est à prendre en compte au niveau du pfsense pour éviter d'envoyer du 1500 dans l'ipsec qui sera ensuite fragmenté...

guldil · « **Réponse #4 le:** 13 décembre 2018 à 12:15:22 »

Bonjour,

J'ai réussi !

Actuellement je fais du 500Mbit par iperf3 dans un tunnel ipsec avec d'un coté une livebox pro v4 + pfsense 2.3.5 DMZ (core i5 AES-NI) et de l'autre opnsense en pppoe direct (sans livebox donc) sur vmware esx 6.5 en core i7. Ce débit est confirmé en réel, je copie à partir d'un synology situé sur le site distant à 40 - 45Mo/s.

De plus, vers OVH, c'est pareil, là encore tant que je suis en AES-NI sur mes pfsense, j'arrive à utiliser tout l'upload de la ligne fibre Orange Pro.

Je terminerai enfin pour vous dire que supprimer mon ancien Pfsense (un vieil ATOM) m'a complètement débloqué le débit tout simplement, j'ai maintenant du 700 - 900 / 500.

Comme quoi, le vieux routeur qu'on garde dans un coin, finit au rebut pour la fibre...

Guldil