Chúng tôi sử dụng hai tường lửa pfsense tại hai địa điểm và đã kết nối các địa điểm bằng cách sử dụng IPsec từng trang một. Điều đó đã hoạt động tốt trong một thời gian dài, bây giờ chúng tôi đã cài đặt bản cập nhật 2.6.0 ở cả hai vị trí và đột nhiên tốc độ giảm mạnh. Tôi đã phân tích điều này một chút và đã đọc một số bài viết về nó.
Đường hầm trực tuyến cho giai đoạn 1 và giai đoạn 2, tôi cũng có thể ping máy chủ trong mạng khác và không bị mất gói với ping ICMP. Nếu bây giờ tôi đo bằng iperf từ máy chủ đến tường lửa từ xa, tôi có thông lượng kém, chỉ trong phạm vi Kbit/s và với Wireshark, tôi thấy số lượng truyền lại TCP cực kỳ lớn, nếu tôi kiểm tra từ phía bên kia thì tốc độ gần như ở mức bình thường.
Với Wireshark có rất nhiều TCP - Truyền lại
Tôi đọc trên internet rằng chúng ta nên điều chỉnh MTU và MSS trên PFsense, tôi cũng đã thử điều đó và không có thay đổi. Vì nó đã hoạt động trước khi cập nhật, tôi thực sự không biết lý do có thể là gì và cách tôi khắc phục sự cố này.
CẬP NHẬT
Tôi đã tạo dấu vết trên cả hai tường lửa và phân tích các gói tin. Một gói đến với lỗi trên tường lửa từ xa, nhưng điều đó chính xác có nghĩa là gì hoặc làm cách nào để xác định chính xác điều gì đã xảy ra?
Trong hình ảnh sau đây, có một dấu vết được đánh dấu là gói gốc.
Và trong hình này, bạn có thể thấy cùng một Gói trên Tường lửa đích.
CẬP NHẬT 2
Tôi đã tìm thấy thêm một số Thông tin, trong khi gỡ lỗi Đường hầm ipsec này, tôi nhận thấy rằng Kích thước Gói là Vấn đề, một số vấn đề trong khi phân mảnh Gói. Nếu tôi thực hiện ping (ping -f 192.168.3.1 -l 969) với Kích thước gói là 969 Byte thì mọi thứ đều ổn, với 970 là mất gói.
Vì vậy, có Sự cố với phân mảnh và tôi đã đặt các Tùy chọn sau trong tab Tường lửa:
