Здравствуйте!
Уже года 4 у меня совершенно нормально работал Mikrotik 1100AHx2 и вот после НГ начались чудеса....
Первый интерфейс у меня настроен как WAN и на 3 внутренних подняты сегменты LAN.
И заметил я, что у меня вдруг резко просела скорость отдачи, выглядит это примерно так:
Данный трафик не соответствует сумме трафика по остальным интерфейсам. Если запустить Torch и натравить его по очереди на каждый внутренний интерфейс, то везде показываются значения, в среднем, не превышающие 5 Мбит, а на внешнем интерфейсе заняты все 40 Мбит на исходящий трафик.
Мало того - я физически повыдергивал провода из внутренних интерфейсов, т.е., осталась конструкция: Микротик - Кабель - Свитч провайдера. После этого я зашел через интернет по внешнему интерфейсу и увидел удивительную картину - по всем внутренним интерфейсам, естественно, нули (они физически отключены от Микротика), а на внешнем интрефейсе все те же 40 Мбит/с исходящего трафика! Такое ощущение, что Микротик сам генерирует этот трафик........
Я решил проверить свитч провайдера, прописал на ноутбуке настройки, как на порту Микротика, и воткнул ноут ВМЕСТО Микротика и проверил скорость - все нормально, и туда и сюда свободны все 40 Мбит/с.
Таким образом, получается, что проблема в самом Микротике.... Что странно. В нем уже очень давно ничего не менялось и он исправно работал до последних дней.
Помогите, пожалуйста, локализовать проблему. Я даже пока не представляю, как это сделать, если даже Torch не видит этот паразитный трафик.....
Заранее огромное спасибо!
Алексей
Mikrotik 1100AHx2 и паразитный исходящий трафик
-
- Сообщения: 120
- Зарегистрирован: 18 май 2016, 18:33
- Откуда: Иркутск
DNS (UDP 53) на WAN порту заблокирован?
-
- Сообщения: 71
- Зарегистрирован: 12 фев 2013, 11:19
Хм.... Наверное, нет..... А как это сделать? В настройках порта ether1 этого не вижу...
Простите, я небольшой специалист в Микротиках. Подскажите, пожалуйста
Простите, я небольшой специалист в Микротиках. Подскажите, пожалуйста
-
- Сообщения: 120
- Зарегистрирован: 18 май 2016, 18:33
- Откуда: Иркутск
Выполните команду /ip firewall export и покажите вывод.
Torch должен показывать весь трафик, смотрите на ether1, сортируйте по скорости.
Torch должен показывать весь трафик, смотрите на ether1, сортируйте по скорости.
-
- Сообщения: 71
- Зарегистрирован: 12 фев 2013, 11:19
Что-то не выводится сюда куча текста...
На группу /ip firewall mangle не смотрите, сейчас маркировка не используется. Ну и не включил группу /ip firewall nat
На группу /ip firewall mangle не смотрите, сейчас маркировка не используется. Ну и не включил группу /ip firewall nat
-
- Сообщения: 120
- Зарегистрирован: 18 май 2016, 18:33
- Откуда: Иркутск
Добавьте в самый верх правило
Код: Выделить всё
add action=drop chain=input comment="Drop input DNS" dst-port=53 in-interface=ether1 protocol=udp
-
- Сообщения: 71
- Зарегистрирован: 12 фев 2013, 11:19
Да, я тоже покопался и, так как я у себя не держу DNS-зон, тупо снял вот эту галку:
Такой метод нормальный?
Такой метод нормальный?
-
- Сообщения: 71
- Зарегистрирован: 12 фев 2013, 11:19
Теперь трафик принял вот такой вид:
-
- Сообщения: 120
- Зарегистрирован: 18 май 2016, 18:33
- Откуда: Иркутск
В этом случае и ваши клиенты не смогут указывать адрес Mikrotik в качестве DNS сервера. Но это и не всегда нужно.vottghern писал(а):Да, я тоже покопался и, так как я у себя не держу DNS-зон, тупо снял вот эту галку:
Такой метод нормальный?
-
- Сообщения: 71
- Зарегистрирован: 12 фев 2013, 11:19
В данном случае это не нужно и вовсе - у меня домен, и DNS у всех доменные. Которые резольвят внешние адреса, в свою очередь, по DNS провайдера. Так что перетопчатся локальные клиенты ))