Web Proxy и нагрузка 100%

Обсуждение ПО и его настройки
Mantikor
Сообщения: 5
Зарегистрирован: 14 апр 2016, 19:45

Здравствуйте.
Есть маршрутизатор RB2011iL-IN, канал 100Мбит/с через PPPOE. Обновления последние.
Есть сеть с <=200 клиентов. Стояла задача не дать доступ в Интернет всем "левым" клиентам, а разрешить только тем, у кого правильные настройки.
Итого запущен Web Proxy, остальные кто прется без прокси интернета не получают(кроме белого списка).
Но есть одна проблема, в рабочее время, когда интернетом активно пользуются, нагрузка на CPU порядка 100%.
Это нормально? Я понимаю что железка не сильно мощная, но все-же ИМНО это чересчур. И можно ли с этим что-то сделать?
 Скрины нагрузки
Изображение Изображение
Изображение

 Часть конфига

Код: Выделить всё

# jul/29/2016 08:31:04 by RouterOS 6.36
# software id = TPK5-0IVU
#
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 password=password use-peer-dns=yes user=\
    user
/ip address
add address=192.168.0.7/23 comment=defconf interface=ether2-master network=192.168.0.0
/ip dns
set allow-remote-requests=yes
/ip firewall filter
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related \
    log-prefix="" src-address-list="All access"
add action=accept chain=forward comment="defconf: accept established,related" connection-state=established,related \
    log-prefix=""
add action=accept chain=forward comment="Accept mail" dst-port=143,993,110,995 log-prefix="" protocol=tcp
add action=drop chain=forward comment="Disable torrent" log-prefix="" p2p=all-p2p src-address-list="!All access"
add action=drop chain=forward comment="Disable all not allowed" log-prefix="" src-address-list="!All access"
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid log-prefix=""
add action=drop chain=forward comment="defconf:  drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface=ether1 log-prefix=""
add action=drop chain=input comment="Disable Proxy from WAN" dst-port=8080 in-interface=pppoe-out1 \
    log-prefix="" protocol=tcp
add action=accept chain=input log-prefix="" protocol=icmp
add action=accept chain=input connection-state=established log-prefix=""
add action=accept chain=input connection-state=related log-prefix=""
add action=accept chain=input comment="Accept VPN" dst-port=1723 log-prefix="" protocol=tcp
add action=accept chain=input comment="Accept VPN" log-prefix="" protocol=gre
add action=drop chain=input in-interface=pppoe-out1 log-prefix=""
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" log-prefix="" out-interface=pppoe-out1
/ip proxy
set enabled=yes max-cache-size=4096KiB
/tool graphing interface
add interface=pppoe-out1
/tool graphing resource
add


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Proxy он такой...

Самое простое - еще один Микротик и разделить задачи, один только прокси, другой все остальное.

Попробуйте вместо прокси настроить хотспот. Намного функциональнее и нагрузка не такая сильная.

Ну или ROS на базе x86...


Mantikor
Сообщения: 5
Зарегистрирован: 14 апр 2016, 19:45

gmx писал(а):Proxy он такой...

А роутер не загнется от такой работы за пол года - год? Потому что пользователи не жалуются на скорость.
gmx писал(а):Самое простое - еще один Микротик и разделить задачи, один только прокси, другой все остальное.
Ну или ROS на базе x86...

Бюджет :(
gmx писал(а):Попробуйте вместо прокси настроить хотспот. Намного функциональнее и нагрузка не такая сильная.

Спасибо, почитаю, если подойдет то применю.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Не, я бы сказал что это не нормально. Там даже с учетом прокси такой нагрузки по идее быть не должно при должной настройке.

А у вас народ как в этот самый прокси попадает? (конфиг не полный, непонятно)

Хотспот тоже на основе прокси работает но там авторизованный юзер идет мимо прокси и потому желеку не напрягает ообо


Есть интересная задача и бюджет? http://mikrotik.site
Mantikor
Сообщения: 5
Зарегистрирован: 14 апр 2016, 19:45

vqd писал(а):А у вас народ как в этот самый прокси попадает? (конфиг не полный, непонятно)

На клиентских машинах прописывается прокси в системе. (не показал конфиг только определения поров, времени, VPN-ов. Firewall полный указан)
Вот могу добавить по настройке прокси.
 Прокси
Изображение Изображение


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

А ну собственно тогда такая нагрузка объяснима. Вашу задачу в принципе без прокси решить можно и нагрузки практически не будет


Есть интересная задача и бюджет? http://mikrotik.site
Mantikor
Сообщения: 5
Зарегистрирован: 14 апр 2016, 19:45

vqd писал(а):Вашу задачу в принципе без прокси решить можно и нагрузки практически не будет

Просветите пожалуйста.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Самый простой способ - статические записи в ARP таблице: IP+MAC.
Левые никогда не пойдут.


Mantikor
Сообщения: 5
Зарегистрирован: 14 апр 2016, 19:45

gmx писал(а):Самый простой способ - статические записи в ARP таблице: IP+MAC.
Левые никогда не пойдут.

Левые то не пройдут, но слишком муторно.
Сначала собрать таблицу MAC - устройство, чтобы разбираться в этом зоопарке, а это ~140ПК, + ноутбуки + телефоны.
Да и потом брать в каждого желающего подключить интернет, МАС-адрес ... нет уж. Тот человек, для которого я спрашиваю, на такое не согласится.

Вопрос: производительность web-proxy упирается в CPU? Т.е. если купить второй микротик поновее, допустим hEX lite (RB750r2) c процессором на 850MHz, это же должно помочь?


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Попробуйте Hotspot, прежде чем покупать новый микрот.


Ответить