Почему fasttrack ломает роутинг?

Обсуждение ПО и его настройки
Ответить
inout
Сообщения: 7
Зарегистрирован: 14 авг 2016, 12:19

Имею новичковый вопрос.
Пускаю пакеты из локальной сети на внешние IP-адреса из списка (список составлен в основном по данным Роскомнадзора) по альтернативному маршруту (туннель) с помощью такой конфигурации (лишнее вырезано):

Код: Выделить всё

/ip firewall mangle print
4    chain=prerouting action=mark-routing new-routing-mark=11 passthrough=no dst-address-list=censor in-interface=bridge log=no
      log-prefix=""


Сам маршрут:

Код: Выделить всё

/ip route print detail
Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme,
B - blackhole, U - unreachable, P - prohibit
 0 A S  ;;; censorship circumvention
        dst-address=0.0.0.0/0 gateway=192.168.5.52 gateway-status=192.168.5.52 reachable via  tun-goro distance=1 scope=30
        target-scope=10 routing-mark=11


И тут fasttrack всё ломает! Мои самые первые три правила из таблицы filter фаервола:

Код: Выделить всё

/ip firewall filter print detail
Flags: X - disabled, I - invalid, D - dynamic
 0  D ;;; special dummy rule to show fasttrack counters
      chain=forward

 1    ;;; fasttrack
      chain=forward action=fasttrack-connection connection-state=established,related in-interface=!tun-goro out-interface=!tun-goro
      log=no log-prefix=""

 2    ;;; accept established,related
      chain=forward action=accept connection-state=established,related log=no log-prefix=""


Как видите, в правиле #1 пришлось добавить

Код: Выделить всё

in-interface=!tun-goro out-interface=!tun-goro
, иначе traceroute на IP-адреса из списка "censor" ходит как надо (в линуксе traceroute шлёт ICMP-пакеты, которые не подлежат fasttrack), а странички не открываются.
Если выключить это правило, либо добавить данное ограничение, то всё бегает как надо.
Вопрос: что происходит?
Трафик с помощью Wireshark ещё не изучал, так как пока не разобрался, как это делать в Mikrotik.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Смысл fasttrack заключается в том, чтобы как можно быстрее пропустить пакеты через роутер. При этом, действительно, и на форуме здесь писали, и на зарубежном форуме тоже, часть правил фаерволла может игнорироваться. При этом сам fasttrack постоянно допиливается и доделывается. Допускаю, что его вообще уберут в будущем.

Итог простой: хотите "спербыстрых пакетов" используйте fasttrack. (Хотя наверное правильнее купить железку помощнее), нужно, чтобы работало много сложных правил фаерволла - не используйте.

Я, как только появился fasttrack, как ни пытался увидеть реальное увеличение скорости - не смог. Толи тарифы у меня слабоваты, не позволяют нагрузить роутер по максимуму, толи задачи слишком тривиальные, чтобы реально оценить разницу. Не знаю, больше я fasttrack не использую.


guruks
Сообщения: 27
Зарегистрирован: 03 сен 2016, 13:29

Не хотелось создавать новую тему, у кого есть RB750G у вас тоже fasttrack на нём не работает, ато на офф форуме внятного ответа от разрабов не получил.


Ответить