проблема передачи больших файлов по vpn между 2-мя микротиками

[iGoRek]

Добрый день, форумчане
Обращаюсь к вам за помощью, поскольку своими силами победить проблему не смог
Вкратце задача:
Имеется цетральный офис (дата-центр) с белым ip и RB4011
Имеется несколько филиалов с белым ip и RB2011

Поскольку стояла задача организовать доступ к файлообменнику дата-центра из филиалов, изначально были подняты pptp туннели между микротиками. Результат доступы к файловой системе хранилища есть, копирование мелких файлов идет без вопросов в обоих направлениях.
Проблема возникла при попытке копирования больших файлов 30-70 Мб и более, при этом копирование с хоста филиала на сторадж дата-центра идет довольно резво и линейно, а вот обратно со стораджа дата-центра на любой хост филиала уже проблема: начинается резво доходит до 3-5% и скорость падает до нуля, после паузы в секунд 10-30 опять скорость немного поднимается, продолжается закачка файла на пару процентов и снова скорость падает до нуля. После нескольких подобных попыток скачивание файла прерывается с ошибкой доступа.
Посоветовали попробовать перейти на l2tp, gre. Настроил и эти 2 типа туннелей, но эффект тот же (((
Проверил нагрузки процессоров в момент передачи данных - не более 20-25% на ядро.
Виртуалка файлообменника организована на xeon там нагрузки не видно вообще, при этом про локалке все довольно шустро.

Даже не знаю куда и смотреть
Если кто-то сталкивался с подобным эффектом или знает как это преодолеть буду крайне признателен

[Chupaka]

Добрый. А если попробовать MSS для этого трафика уменьшить в Firewall Mangle? Мало ли, фрагментация пакетов боком как-то вылазит...

[iGoRek]

Спасибо за Ваш ответ. Но в Firewall Mangle нет никаких записей, имеющих отношения к туннелям, возможно следует изменить конфигурацию? Подскажите пожалуйста если не затруднит где об этом можно почитать. Заранее благодарен!

[Chupaka]

Попробуйте что-то вроде

Код: Выделить всё

/ip firewall mangle 
add dst-address=хренилище protocol=tcp tcp-flags=syn action=change-mss new-mss=1300 chain=forward tcp-mss=1301-65535

[iGoRek]

Спасибо за мысль, попробовал, но видимого эффекта не заметил
Попробовал поиграться с MTU, MRU - выставил значение 1456, тоже не сильно полегчало
попробовал промаркировать пакеты ipsec в Mangle и посредством fasttrack исключая ipsec трафик разгрузить процессор, но и от этого пользы оказалось немного
Может будут еще какте-то идеи в этом направлении?
Буду благодарен за любую

[Chupaka]

А хранилка по какому протоколу работает?

[iGoRek]

это виртуалка на Win Server 2016 Standart, получается по протоколу SMB

[iGoRek]

Разобрались, всем спасибо!
Уже было отчаявшись исправить ситуацию, звоню провайдеру и объясняю ситуацию, благо он готов помочь
В итоге на портах свича провайдера отключается Traffic Storm Control и все побежало как надо.
Вот так бывает.
Надеюсь еще кому-то пригодится данный опыт.