关于 L2TP/ipsec 协议

不找自己问题吗

@CnpPt 应该不是吧 换了其他方式尝试 速度都挺正常的

我软路由上建的，可以跑满带宽。

你上传只有 30M 吧。

@sypopo 还真有可能是路由器的坑 我用了个 H3C 的路由器 查了一下 ipsec 的吞吐量只有 40Mb

@yyysuo 千兆宽带 测试最差也有个一百兆的样子

@nigelboy 是不是设备性能不高？
虽然 500 4500 的 udp 端口特殊。不过目前我是没感觉 qos 。。。

对于部分地区的移动客户端的数据统计。。。我发现阿里云也并不是非常完美。。。晚高峰还是会卡表现得像服务器带宽满载。不过至少能连接了。。。不愧是移动，总让人时不时的重温 gprs 的感动。

家里宽带的上行我记得默认是 50Mb

@nigelboy 果然。。。你用的这种硬路由。肯定是了。这种需求不是这些低端玩意儿能吃得消的。你可以试一些不协商不握手不加密的隧道。比如 pptp 加预共享密钥。

不是所有路由器都能对这个做加速的，ubnt erx 跑 ipsec 就只位个位数 MB 的速度
要速度找个 x86 软路由挂上

你两边网络上下行对等吗？都是几百兆？

哈哈，大家都在说查上传，还是查下吧。即使是家用给的千兆宽带，上行一般最多 50 Mbps ，换算过来差不多最理想情况下 6 MB 。

@neroanelli 楼主说了，换了其他方式都正常。原因无非是性能不够。
@joshu 因为没有相关的加速电路。没有芯片。。。。就像硬盘录像机，那些监控的 cpu 还不如 10 年前的无线路由器 soc ，但是啥都是专用芯片。一个影像芯片用于接收 265 码流，一个用于回放。sata 桥还是特定的芯片。也有的方案芯片一体了，内部逻辑还是这样。毕竟功能单一。

er-x 的 7621 调度方式我个人更愿意把他当成软路由。。。。小包 pps 感人，且连接数也带不动多少。

我个人的区分软路由硬路由的依据：数据包被预定义的逻辑线速转发，就是硬路由。例如三层交换机的实现方式。数据包要经过 cpu 多次打捞才发出，就是软路由。软硬路由从来不是看硬件组成的。D1581 这玩意儿好像本质就是为交换机设计的？

我用 7100u 的软路由，同样的协议，用 docker 搭的，能跑满我 100M 的上传。

你路由直接 AES 加密么？你不会用的是家用路由连的吧？

@i3x @joshu 不一样的，er-x 有 hwnat ，ubnt 花钱买的。我也是 er-x 主路由扔弱电箱。实测 ipsec 开 hwnet 100Mbps 没啥问题，超过运营商给的上传带宽。开了 hwnet pppoe 也基本不占用 CPU 。260 kpps for 64‑byte packets and 1 Gbps for 1518-byte packets 性能不错了。不是千兆以上宽带完全没问题。

ipsec 也是非对称加密交换，建立连接后就都是对称加密了，最垃圾的家用路由也没啥问题的。只需要看 nat 是软的还是硬的。

有些家用路由没有针对 ipsec 的 hw offload ，但是 2-3MB 的话也不至于，还是查运营商给了多少上传带宽吧，合理怀疑运营商只给了 30Mbps 。

@springz ipsec 是重 cpu 的行当。mips arm 什么的真的干不动，如果没有专用芯片还是得 x86 力大飞砖。
我知道 er-x 有 hwnat 。。。7621 的 hwnat 在 op 阵营好像是唯一的独苗，让互联网路由器把 openwrt 推入寻常人家的 7620a 都木有这能力。。

一旦有什么特殊的需要，er-x 的原系统会迅速放弃硬件加速路由，还不如 openwrt 。。。所以我觉得这玩意儿很鸡肋。。。但是这体积我又很喜欢。。。。。
可以说：简单 nat 功能的网管交换机，或者 7621 芯片的软路由。

@thtznet ipsec 还不一定是 aes 。选择多了。楼主帖子里已经表述了是 h3c 的路由器，要么是民用的，要么是企业入门级的。。。这种玩意儿么。。。性能自然就是渣渣。没有针对特殊处理的话，就是 cpu 硬抗。cpu 不是单功能专一的

你确定不是自己的问题么？