V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 3602 days ago, the information mentioned may be changed or developed.
我用一对居易的 2960 及 2950 在深圳跟香港建了 site to site IPSec(AES256 SHA-1) 通道.
最近一直被 GFW 干扰.
他不会断网, 又不会封掉你的端口或 IP.但就弄到速度超级慢.
干扰特证都是.
- IPSec 刚连上时 throughput 超过 70mbps (深圳电信 100m/香港 PCCW500m)
- 用没多久 throughput 掉到 7-8mbps, 再用一下掉到 200kbps.
- 换過一组深圳电信 IP 或香港 IP 或改用域名连接, 又回复 70mbps.
- 用没多久又变超级慢。
这应该是 GFW 干扰吧?请问各位老师机有没有办发解决?
不想用 SS, 需要全局 site to site 的.
先谢过!
最近一直被 GFW 干扰.
他不会断网, 又不会封掉你的端口或 IP.但就弄到速度超级慢.
干扰特证都是.
- IPSec 刚连上时 throughput 超过 70mbps (深圳电信 100m/香港 PCCW500m)
- 用没多久 throughput 掉到 7-8mbps, 再用一下掉到 200kbps.
- 换過一组深圳电信 IP 或香港 IP 或改用域名连接, 又回复 70mbps.
- 用没多久又变超级慢。
这应该是 GFW 干扰吧?请问各位老师机有没有办发解决?
不想用 SS, 需要全局 site to site 的.
先谢过!
 |
1
mandymak Jun 16, 2016
@Darkinners 只能用另类方法。
|
 |
2
kennylam777 Jun 16, 2016
這種情況無解,放棄使用一般的 VPN 吧,用 SS 掛個 OpenVPN 都比直接用 IPSec 好。
|
 |
3
Zeact Jun 16, 2016 via Android
持续多久 70mbps 会掉速?也有可能是电信问题吧,我移动 50Mbps 和国外 vps 建 ipsec ,我测过通过隧道满速下载 3 , 4 分钟,长时间看 4k 2k 视频啥的,没观察到掉速现象。和你一样也是 AES256 sha1 , site to site psk 模式。 对了你可以尝试下把隧道的 MTU 调小 11xx 之类的,之前碰到过默认 1400 速度上来十几秒以后就掉速到几乎 0 的情况。
|
|
4
kennylam777 Jun 17, 2016 via Android
|
 |
5
MikuM97 Jun 17, 2016
不一定是 qiang ,可能是电信的 qos 规则,毕竟普通宽带的 qos 优先级太低。可以考虑上 cn2 转发或者移动的线路试试。 ipsec 在握手的时候都是明文交换参数,要是墙存心玩你你隧道都起不来的。
|
|
7
kennylam777 Jun 17, 2016
@mandymak NAT-T 模式下可以跑 UDP 4500
|
 |
8
AII Jun 17, 2016 via Android
@kennylam777 联通的墙才是最扯淡的,直接限制端口。例如 AWS-S3 , 80 端口一切正常,但 443 就 100 %丢包。这对于 VPN 这种指定端口的是致命打击。
|
|
9
kennylam777 Jun 17, 2016
@AII 這個聯通牆我也有體驗,連一會 SSL VPN 就整個 IP 封掉,以前用天威時領教過....
|
 |
10
zzlyzq Jun 17, 2016
兄弟, 我们之前的场景和你差不多,根据我们的经验,多半是因为 TCP 的机制在广域网的时候会有性能问题。 我们后来采用 https://sourceforge.net/projects/tsunami-udp/ , 这个软件 速度不错,基本可以把公网口打满。
不过需要注意, tsunami-udp + ipsec 效果最好, 如果没有 ipsec 的包裹, 多半传起来就会失败,或者中途卡住。 还有另外一个方案,可以采用 btsync 进行。 以上是大量数据进行传输,如果是控制链路, 那么一点点带宽也是足够了的。 |
 |
11
Darkinners OP 感谢各位帮忙解答! 之前不知道为什么进不之自己这个贴不能回覆感谢各位帮忙。
我实在不知道是否被 qiang. 到上星期情况更差 现在只剩下 SSL 能正常建立 VPN 通道. IPSec 能连接通道但疯狂掉包, 速度只有 0.4-5KB/s. 根本不能使用. IPSec site to site, 之前一直用了 2 年都没什么大问题, 直至 6 月中旬开始就怪怪的. |
|
12
Darkinners OP @Zeact 我之前试过了。调小 MTU (原设 1360) 调小到 1160 也没有改善
|
 |
13
Siril Jul 14, 2016
换移动线路;
用一对 cisco 892 (二手的 500 块钱), dmvpn 走起, 仅需要一侧有公网 ip 即可。 |
Select Language