怎样防止 IPSec 干扰?

我用一对居易的 2960 及 2950 在深圳跟香港建了 site to site IPSec(AES256 SHA-1) 通道.
最近一直被 GFW 干扰.
他不会断网, 又不会封掉你的端口或 IP.但就弄到速度超级慢.

干扰特证都是.
- IPSec 刚连上时 throughput 超过 70mbps (深圳电信 100m/香港 PCCW500m)
- 用没多久 throughput 掉到 7-8mbps, 再用一下掉到 200kbps.
- 换過一组深圳电信 IP 或香港 IP 或改用域名连接, 又回复 70mbps.
- 用没多久又变超级慢。

这应该是 GFW 干扰吧?请问各位老师机有没有办发解决?
不想用 SS, 需要全局 site to site 的.
先谢过!

kennylam777

2016-06-16 17:32:07 +08:00

這種情況無解，放棄使用一般的 VPN 吧，用 SS 掛個 OpenVPN 都比直接用 IPSec 好。

Zeact

2016-06-16 23:56:01 +08:00

持续多久 70mbps 会掉速？也有可能是电信问题吧，我移动 50Mbps 和国外 vps 建 ipsec ，我测过通过隧道满速下载 3 ， 4 分钟，长时间看 4k 2k 视频啥的，没观察到掉速现象。和你一样也是 AES256 sha1 ， site to site psk 模式。对了你可以尝试下把隧道的 MTU 调小 11xx 之类的，之前碰到过默认 1400 速度上来十几秒以后就掉速到几乎 0 的情况。

kennylam777

2016-06-17 00:46:06 +08:00

@Zeact 移動牆對大流量的不明流量沒那麼敏感，電信 ChinaNet 牆是最麻煩的一個，看我的帖子，兩家都在用。

樓主，能上移動就移動，電信用一般 VPN 沒好結果。

MikuM97

2016-06-17 01:35:16 +08:00

不一定是 qiang ，可能是电信的 qos 规则，毕竟普通宽带的 qos 优先级太低。可以考虑上 cn2 转发或者移动的线路试试。 ipsec 在握手的时候都是明文交换参数，要是墙存心玩你你隧道都起不来的。

AII

2016-06-17 12:18:55 +08:00

@kennylam777 联通的墙才是最扯淡的，直接限制端口。例如 AWS-S3 ， 80 端口一切正常，但 443 就 100 ％丢包。这对于 VPN 这种指定端口的是致命打击。

kennylam777

2016-06-17 14:43:20 +08:00

@AII 這個聯通牆我也有體驗，連一會 SSL VPN 就整個 IP 封掉，以前用天威時領教過....

zzlyzq

2016-06-17 15:08:02 +08:00

兄弟，我们之前的场景和你差不多，根据我们的经验，多半是因为 TCP 的机制在广域网的时候会有性能问题。我们后来采用 https://sourceforge.net/projects/tsunami-udp/ ，这个软件速度不错，基本可以把公网口打满。

不过需要注意， tsunami-udp + ipsec 效果最好，如果没有 ipsec 的包裹，多半传起来就会失败，或者中途卡住。

还有另外一个方案，可以采用 btsync 进行。

以上是大量数据进行传输，如果是控制链路，那么一点点带宽也是足够了的。

Darkinners

2016-07-05 09:20:53 +08:00

感谢各位帮忙解答！之前不知道为什么进不之自己这个贴不能回覆感谢各位帮忙。

我实在不知道是否被 qiang. 到上星期情况更差
现在只剩下 SSL 能正常建立 VPN 通道.
IPSec 能连接通道但疯狂掉包, 速度只有 0.4-5KB/s. 根本不能使用.
IPSec site to site, 之前一直用了 2 年都没什么大问题, 直至 6 月中旬开始就怪怪的.

Siril

2016-07-14 12:51:36 +08:00

换移动线路；

用一对 cisco 892 （二手的 500 块钱）， dmvpn 走起，仅需要一侧有公网 ip 即可。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/286192

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.