Всем привет! Столкнулся с такой проблемой, которую реально не понимаю как траблшутить правильно.

Есть сервак, у которого два интерфейса: wg0, к нему цепляются конечные клиенты (лэптопы, телефоны, итд), и wg1, который является туннелем к стороннему VPN.

Весь трафик сервера маршрутом по умолчанию выходит в интернет через wg1:

~ ip route get 8.8.8.8
8.8.8.8 dev wg1 table 51820 src 10.13.128.233 uid 0

Добавлен NAT:

iptables -t nat -A POSTROUTING -o wg1 -j MASQUERADE

Итого, схема получается такая:

(конечные юзеры) ----> wg0 ----> (сервер) ----> NAT ----> wg1 ----> (3rd-party VPN) ----> интернет

Конфиги WireGuard супер-примитивные, на всех прописаны только ключи и адреса.

В чем проблема: на конечных клиентах скорость по замерам на fast.com и SpeedTest — около 20-30 Мбит. Сначала грешил на перфоманс либо wg0 туннеля, либо wg1, но:

• Тест скорости с сервера (у которого весь исходящий идет через wg1), показал гигабит на fast.com / SpeedTest
• Тест iperf с клиента до сервера (wg0) показал уверенные 100 Мбит

Итого выходит, что оба туннеля работают отлично, а скорость теряется где-то на маршрутизации / NAT / чем-то еще, когда трафик роутится/натится по цепочке выше.

Буду признателен крайне вообще любым советам, наводкам и комментариям, нахожусь в некотором тупике.

Всем привет! Меня зовут Василий, я технический директор в Смартекс — https://www.smartex-it.com

Ищем коллегу в отдел инфраструктуры: Kubernetes, Ansible, CI/CD пайплайны.

Компания

Занимаемся разработкой на заказ — веб-приложения, мобильные приложения, нагруженные сервисы. Беремся за нетиповые и сложные проекты: очередной лэндинг или интернет-магазин на Битриксе — вряд ли. Перевод сложного бизнес-процесса в цифровой вид, разработка приложения с нестандартным функционалом, планирование отказоустойчивой архитектуры для highload-сервиса — да, несите такого побольше!

Так как ваш покорный слуга сам в свое время админил и автоматизировал, то с самого начала в компании формировалось особое отношение к инфраструктуре: использование open-source ПО и инструментов, автоматизация вместо ручного труда, внимание к культуре и этике.

Сейчас у нас запускаются новые проекты для международных и отечественных компаний, поэтому ищем людей, которые помогут изящно решать задачи, связанные с запуском новых окружений и поддержкой существующих.

Задачи

• Запуск новых тестовых и продуктивных окружений в рамках проектов по разработке и поддержке инфраструктуры
• Участие в планировании архитектуры и выборе технических решений
• Конфигурация CI/CD пайплайнов, автоматизация типовых процедур
• Работа по инцидентам, их траблшутинг и разрешение
• Взаимодействие с командой разработки, сопровождение релизов
• Документирование своей работы, включая Documentation as Code

Ожидания

• «Хозяйский» подход к инфраструктуре, желание и умение наводить порядок вопреки хаосу внешнего мира
• Прочный опыт и твердые навыки администрирования *nix, желательно опыт администрирования веб-приложений (Python, Node, PHP, Java)
• Умение автоматизировать свои действия при помощи любой SCM (Chef, Ansible, Puppet…) или скриптовых языков
• Практический опыт работы с Docker, в идеале — с Kubernetes
• Хорошее понимание устройства ЭВМ, *nix-систем и сетей
• Технический английский на уровне чтения документации

Технологии

• Контейнеры: Kubernetes, Helm, AWS EKS
• Автоматизация: Ansible, Python, AWS CloudFormation, Shell
• Хостинг: AWS, Yandex.Cloud
• ОС: CentOS, Ubuntu
• Мониторинг / логи: ELK, Prometheus, AWS CloudWatch, New Relic, Zabbix
• CI/CD: TeamCity, ArgoCD, AWS CodeBuild / CodePipeline
• VCS: Bitbucket
• Совместная работа: JIRA, Slack, Confluence

Условия

• По зарплате хотелось бы попасть в бюджет 140-180 gross, но возможен диалог в зависимости от опыта и навыков
• Полностью удаленная работа. Гибкий рабочий график. Тем не менее, есть и офис в Москва-Сити, если есть желание побыть в компании!
• Команда, ориентированная на современные подходы и практики работы
• Оформление «вбелую» по ТК, работаем с ИП, самозанятыми / ГПХ

Как откликнуться

Присылайте резюме на почту v.kolosov@smartex-it.com с пометкой «Системный инженер» в теме. Папку со спамом проверяю, но на всякий случай в CC стоит добавить info@smartex-it.com.