CHR Одно ядро временами по ssl "прыгает" в "шишку"

[rst161]

Здравствуйте. CHR Router os 7.15.2 на esxi. Он же OVPNServer. Ovpn client-ы (11шт) все на hap ac2, так же на 7.15.2

Проблема тянется начиная с седьмой версии. А именно в абсолютно рандомный момент, если верить /tools profile, одно ядро из шести загружается в 100% по SSL. И не падает без ребута. Причем если дропнуть клиентов + конекшены, всех, загрузка так и останется.
Трафика гуляет где-то 100-120Mbps . По 10.2 Mbps на одного клиента. Все клиенты гоняют rtsp трафик с камер на трассир сервер.

В последнем конфиге, при котором готов уже сдаться, сейчас без излишек.(сркины ниже) сстп отключен (встречал где-то на форумах что может быть связанно с сстп, отключил). Сертификаты перевыпускать пробовал. С шифрованием от 1024 до 4096, Возможно как-то не правильно их выпускаю, уже не знаю.... Выписывал их на доменное имя... Само подписанные.

[rst161]

upd... Скринами могу ввести в заблуждения. Подумалось мне убрать опенвпнсервер на хапы. И сейчас chr цепляется к hap ac2 . Фактически сейчас CHR является клиентом. а хап АС Серверами. Коих 11 штук. Но при всём при этом. Один хрен не помогло. Начинают закрадываться мысли что дело совсем не в сертификатах и Openvpn. Что еще может вызывать логи с worning по ovpn и загрузкой ssl?

[Chupaka]

В IP - Services у вас, может, включен какой-нибудь неиспользуемый -ssl и можно попробовать выключить его для проверки?..

Ещё бы сделать supout.rif и отправить в техподдержку - может, они что-нибудь увидят, что недоступно нашему взгляду.

[Chupaka]

А на сервере сейчас ovpn-сервер совсем выключен?

[rst161]

Конкретно сейчас нет,как служба включена. Но не одного клиента активного нет

[Chupaka]

Ну, вот выключить бы всё ненужное

[rst161]

Ну, вот выключить бы всё ненужное

В сервисе всё выключено кроме winbox. Так же выключал ovpnserver как службу. Конкретно сегодня не выключен. Ранее выключал. Правда вешал тогда всё на л2тп. И в принципе пока на л2тп, все работает, вроде как стабильно.
Опять же повторюсь. Это не панацея. Хотелось бы разобраться с проблемой...

[Chupaka]

Хотелось бы разобраться с проблемой...

supout.rif и поддержка - самый надёжный вариант

[rst161]

Хотелось бы разобраться с проблемой...

supout.rif и поддержка - самый надёжный вариант

Написал. ХЗ почему раньше не сделал... Долго отвечают?

[Chupaka]

Как повезёт

[rst161]

Спасибо всем тем кто пытался помочь. Тему думаю можно закрывать.
В общем я не нашел решения. А Т.П микротик молчит.

Мною было замечено что при использовании пароля выше 193 бит. Не важно СНР выступает в качестве сервера или клиента овпн. ССЛ загрузкой на ядро прыгает до 100% в течении первых часов. Если же использовать пароль более короткий, допустим до шести символов, то загрузка ЦП могла не подниматься несколько дней спокойно. Но это был вопрос времени. В данном конкретном случае, я сдался и перевёл всё на wireguard. Загрузка ЦП уже как неделю выше 10% не поднимается. Склоняюсь, к тому что у меня что-то с железом. Есть у меня съемный ВПС с СНР, там опенвпн клиентов в разы больше чем здесь. Настройка одинаковая что на проблемном, что на съемном. Правда разница есть. Трафика на съемном гуляет в разы меньше.... В общем всем спасибо за внимание.