V2EX = way to explore V2EX 是一个关于分享和探索的地方
Sign Up Now For Existing Member Sign In
This topic created in 3602 days ago, the information mentioned may be changed or developed.
我用一对居易的 2960 及 2950 在深圳跟香港建了 site to site IPSec(AES256 SHA-1) 通道.
最近一直被 GFW 干扰.
他不会断网, 又不会封掉你的端口或 IP.但就弄到速度超级慢.
干扰特证都是.
- IPSec 刚连上时 throughput 超过 70mbps (深圳电信 100m/香港 PCCW500m)
- 用没多久 throughput 掉到 7-8mbps, 再用一下掉到 200kbps.
- 换一组深圳电信 IP 或香港 IP 或改用域名连接, 又回复 70mbps.
- 用没多久又变超级慢。
这应该是 GFW 干扰吧?请问各位老师机有没有办发解决?
不想用 SS, 需要全局 site to site 的.
先谢过!
最近一直被 GFW 干扰.
他不会断网, 又不会封掉你的端口或 IP.但就弄到速度超级慢.
干扰特证都是.
- IPSec 刚连上时 throughput 超过 70mbps (深圳电信 100m/香港 PCCW500m)
- 用没多久 throughput 掉到 7-8mbps, 再用一下掉到 200kbps.
- 换一组深圳电信 IP 或香港 IP 或改用域名连接, 又回复 70mbps.
- 用没多久又变超级慢。
这应该是 GFW 干扰吧?请问各位老师机有没有办发解决?
不想用 SS, 需要全局 site to site 的.
先谢过!
 | 1 mandymak Jun 16, 2016 @Darkinners 只能用另类方法。 |
 | 2 kennylam777 Jun 16, 2016 情解,放使用一般的 VPN 吧,用 SS OpenVPN 都比直接用 IPSec 好。 |
 | 3 Zeact Jun 16, 2016 via Android 持续多久 70mbps 会掉速?也有可能是电信问题吧,我移动 50Mbps 和国外 vps 建 ipsec ,我测过通过隧道满速下载 3 , 4 分钟,长时间看 4k 2k 视频啥的,没观察到掉速现象。和你一样也是 AES256 sha1 , site to site psk 模式。 对了你可以尝试下把隧道的 MTU 调小 11xx 之类的,之前碰到过默认 1400 速度上来十几秒以后就掉速到几乎 0 的情况。 |
| 4 kennylam777 Jun 17, 2016 via Android |
 | 5 MikuM97 Jun 17, 2016 不一定是 qiang ,可能是电信的 qos 规则,毕竟普通宽带的 qos 优先级太低。可以考虑上 cn2 转发或者移动的线路试试。 ipsec 在握手的时候都是明文交换参数,要是墙存心玩你你隧道都起不来的。 |
| 7 kennylam777 Jun 17, 2016 @mandymak NAT-T 模式下可以跑 UDP 4500 |
 | 8 AII Jun 17, 2016 via Android @kennylam777 联通的墙才是最扯淡的,直接限制端口。例如 AWS-S3 , 80 端口一切正常,但 443 就 100 %丢包。这对于 VPN 这种指定端口的是致命打击。 |
| 9 kennylam777 Jun 17, 2016 @AII 通我也有,一 SSL VPN 就整 IP 封掉,以前用天威教.... |
 | 10 zzlyzq Jun 17, 2016 兄弟, 我们之前的场景和你差不多,根据我们的经验,多半是因为 TCP 的机制在广域网的时候会有性能问题。 我们后来采用 https://sourceforge.net/projects/tsunami-udp/ , 这个软件 速度不错,基本可以把公网口打满。 不过需要注意, tsunami-udp + ipsec 效果最好, 如果没有 ipsec 的包裹, 多半传起来就会失败,或者中途卡住。 还有另外一个方案,可以采用 btsync 进行。 以上是大量数据进行传输,如果是控制链路, 那么一点点带宽也是足够了的。 |
 | 11 Darkinners OP 感谢各位帮忙解答! 之前不知道为什么进不之自己这个贴不能回覆感谢各位帮忙。 我实在不知道是否被 qiang. 到上星期情况更差 现在只剩下 SSL 能正常建立 VPN 通道. IPSec 能连接通道但疯狂掉包, 速度只有 0.4-5KB/s. 根本不能使用. IPSec site to site, 之前一直用了 2 年都没什么大问题, 直至 6 月中旬开始就怪怪的. |
| 12 Darkinners OP @Zeact 我之前试过了。调小 MTU (原设 1360) 调小到 1160 也没有改善 |
 | 13 Siril Jul 14, 2016 换移动线路; 用一对 cisco 892 (二手的 500 块钱), dmvpn 走起, 仅需要一侧有公网 ip 即可。 |
Select Language