Большой пинг в сети хардварного ВПН
 

Здравствуйте,

У меня есть хардварное впн соединение. Шифрование АЕС-256, ИПсек сайт-то-сайт. На стороне сервера стоит Dell Sonicwall NSA 3500. У клиента DLink DSR-250N.

Впн работает, но пинг очень высокий когда я с клиента что то отправляю серверу. Т.е с одной сети по другой пинг доходит до 200мс, что не приемлимо. И время от времени вообще теряется связь между впн-ами. Т.е связь между Dell Sonicwall NSA 3500 и DLink DSR-250N исчезает... пока что наблюдаю 30 мин провал пинга... В настройках ИПСека стоит 28800 сек. т.е каждый 480 минут он должен пересоединять между собой, но почему то каждые 30 мин что то происходит.

Dell Sonicwall NSA 3500 который стоит на стороне сервера, имеет лицензицую до 1000 ВПН Полиси.. а он при 1 подключении делает такие проблемы уже.. Я насчет пинга которые достигает до 200мс..
Идеи?

как с пингом между сервером и клиентом без VPN?

Без ВПН с сервером пинг 30 мс.. Когда начинаю закачивать файлы на сервер то тоже стоит на том 30мс..
С ВПН, пинг до сервера тоже 30мс. Когда начинаю закачивать файлы, то уже 150-200мс с потерями..

Похоже это ВПН делает какую то проблему...

да, видимо какая-то из железок не справляется

Хороший ответ.. есть способы проверит который из них делает проблему?

у клиента без посредника, напрямую, поднять vpn-соединение
т.к. ни кто больше не отвечает, рад помочь "интеллектуальными сообщениями"

А вы ничего не хотите сказать о скорости канала?

и по какой технологии он поднят, на модеме или что?

GodSaveMe, У SonicWall должны быть 2 встроенных лицензии на SSL VPN (для удаленного администрирования). Подключайтесь - пробуйте.

Но, честно говоря, сравнивая устройства за $5000 и $150, понятно на кого падут первые подозрения.

Так по порядку...

Сеть поднята на технологии АДСЛ. Давнстрим 8мб, Апстрим 1мб. Пинг без ВПН, до сервера, достигает 30мс.. даже при загрузке канала, пинг стоит на своем 30мс.. Если подключить ВПН, то при загрузке канала пинг достигает 150мс-200мс..

kim-aa,

Что я сделал. Подключился к серверам на прямую, через Эзернет(скорость 1Гбит). Без ВПН когда загружаю канал, то пинг стоит на своем 1мс, когда подключаю ВПН то пинг уже 5-7 мс... Т.е. пинг увеличивается при подключенном ВПН-е в 5-7 раз.. Соответственно если у меня через АДСЛ пинг 30мс, то при ВПН увеличивается в 5-7 раз и получаем мои 150мс-200мс(30мс*5)...

Я прошелся по всем пунктам шифровки ВПН(Пропозалс), все равно пинг стоит на своем. Поменял клиентскую часть оборудования т.е DLink DSR-250N на Zyxell Zywall 20, все равно когда канал загружен пинг достигает 150мс-200мс. А когда никто не работает, то пинг нормалный 30мс..

И последнее, что меня удивляет очень сильно.. Когда я с сервера что нибудь скачиваю при включенном ВПН-е, а не загружаю туда, неважно АДСЛ или Эзернет, то пинг не увеличивается, т.е увеличивается но он очень мизерный. Так почему же в одну сторону пинг увеличивается( от клиента до сервера), а с другой стороны (от сервера до клиента), пинг не изменяется?

Патамучта!!! (Простите, вырвалось).

Потому что, при направлении движения трафика "Сервер->Клиент" шифрует железяка за $5000.
При направлении же "Клиент->Сервер" шифрует D-Link.
Операция дешифрации обычно гораздо менее затратна и вносит меньшие задержки.

2) Из практических рекомендаций.
Попробуйте включить AES-128.
Там нелинейная зависимость зависящая от разрядности криптопроцессора.
Может сильно полегчать.

В целях эксперимента можно переключится на DES.
В устройствах Cisco часто крипто-тунель отлаживают с нулевым шифрованием (есть там такая опция).

Не получилось. Я прошелся по всем видам шифровки которые там есть. Даже выключил шифрование на второй фазе, все тот же пинг. В общем понятно... по 5к для каждой точки тут никто покупать не будет, будем работать с тем что есть.

Похоже вопрос решен.

Вам не нужно покупать такую железяку для каждого филиала.

Есть три варианта:

1) Поднимать тунели IPSec Site-To-Site.
Тут нужно покупать маленькие SonicWall в каждый филиал.
Самый маленький NSA 220 ~ $1000, TZ ~ $500

2) Поднимать SSL VPN. Потребует:
- Закупку доп лицензий для каждого клиента (либо конкурентные лицензии - тут считать надо).
- Установка на каждую удаленную рабочую станцию специального софтверного клиента.

3) Пробовать в качестве клиентских железяки 3х фирм.
Более дешевой альтернативой является Fortinet.
Но все равно ~ $500

У меня и так IPSec Site-To-Site настроен. Проблема в том что нужно заставить это оборудование работать как нужно, хотя теперь ясно что не получится. А покупать новые не знаю, все это оборудования закуплено тендером. У меня уже для каждой точки есть DLink DSR-250N.

2 и 3 варианты тоже отпадают, так как никто их покупать не будет, по выше названной причине.. Я все таки предложу ваши решения, хотя не уверен. Спасибо за помощь, очень благодарен.