Мы используем два брандмауэра pfsense в двух местах и соединили места с помощью IPsec для каждого сайта. Это работало хорошо в течение долгого времени, теперь мы установили обновление 2.6.0 в обоих местах, и внезапно скорость сильно упала. Я немного проанализировал это и прочитал несколько сообщений об этом.
Туннель находится в сети для фазы 1 и фазы 2, я также могу пропинговать хост в другой сети и не потерять пакеты с пингом ICMP. Если я сейчас измеряю iperf от хоста до удаленного брандмауэра, у меня плохая пропускная способность, только в диапазоне кбит/с, а с помощью Wireshark я вижу ужасно большое количество повторных передач TCP, если я тестирую с другой стороны, то скорость находится почти на нормальном уровне.
С wirehark много TCP - ретрансляций
Я читал в Интернете, что мы должны настроить MTU и MSS на PFsense, я тоже пробовал, и никаких изменений. Поскольку до обновления это работало, я действительно не знаю, в чем может быть причина и как решить эту проблему.
ОБНОВИТЬ
Я создал трассировку на обоих брандмауэрах и проанализировал пакеты. Приходит пакет с ошибками на удаленный брандмауэр, но что именно это означает, или как определить, что именно пошло не так?
На следующем рисунке показан снимок трассировки с отмеченным исходным пакетом.
И на этой картинке вы можете видеть тот же пакет на брандмауэре назначения.
ОБНОВЛЕНИЕ 2
Я нашел еще немного информации, пока я отлаживал этот туннель ipsec, я обнаружил, что размер пакета является проблемой, некоторые проблемы при фрагментации пакетов. Если я делаю пинг (пинг -f 192.168.3.1 -l 969) с размером пакета 969 байт все в порядке, с 970 происходит потеря пакетов.
Итак, есть проблема с фрагментацией, и я установил следующие параметры на вкладке «Брандмауэр»:
