Folosim două firewall-uri pfsense în două locații și am conectat locațiile folosind IPsec site cu site. Asta a funcționat bine de mult timp, acum instalasem actualizarea 2.6.0 în ambele locații și brusc viteza a scăzut masiv. Am analizat puțin acest lucru și am citit mai multe postări despre el.
Tunelul este online pentru faza 1 și faza 2, pot ping și gazda din cealaltă rețea și nu am pierderi de pachete cu ping ICMP. Dacă acum măsoară cu iperf de la o gazdă la firewall-ul de la distanță, am un throughput prost, doar în intervalul Kbit/s și cu Wireshark văd un număr îngrozitor de mare de retransmisii TCP, dacă testez din cealaltă parte atunci viteza este aproape la nivel normal.
Cu wireshark există o mulțime de TCP - Retransmisii
Am citit pe internet ca ar trebui sa ajustam MTU si MSS pe PFsense, am incercat si eu si nu e nicio schimbare. Deoarece a funcționat înainte de actualizare, nu știu cu adevărat care ar putea fi motivul și cum depanez această problemă.
ACTUALIZAȚI
Am creat o urmă pe ambele firewall-uri și am analizat pachetele. Un pachet sosește cu erori pe firewall-ul de la distanță, dar ce înseamnă exact asta sau cum pot determina exact ce a mers prost?
În imaginea de mai jos este o imagine a urmei cu pachetul de origine marcat.
Și în această imagine puteți vedea același pachet pe Firewall de destinație.
UPDATE 2
Am găsit mai multe informații, în timp ce depanam acest tunel ipsec, am descoperit că dimensiunea pachetului este problema, unele probleme legate de fragmentarea pachetelor. Dacă fac un ping (ping -f 192.168.3.1 -l 969) cu dimensiunea pachetului de 969 octeți, totul este în regulă, cu 970 există pierderi de pachete.
Deci, există o problemă cu fragmentarea și am setat următoarele Opțiuni în fila Firewall:
