[Решено] Приоритет для приставки IPTV

Обсуждение ПО и его настройки
Ответить
navisal
Сообщения: 3
Зарегистрирован: 26 июл 2019, 09:51

Здравствуйте.
Ростелеком, 100 мбит интернет через PPPoE, IPTV на приставке в выделенном порту ether2. Клиенты получают интернет через ether3-5 и по воздуху.
Все работает замечательно, кроме одного. Когда пользователи активно качают из инета, приставке не хватает ширины канала (для HD фильмов ей надо 11-15 мбит) - изображение рассыпается, замирает . Как попроще дать самый высокий приоритет траффика на приставку? А уже всю остальную ширину канала на интернет?
 Конфигурация

Код: Выделить всё

# jul/26/2019 10:17:43 by RouterOS 6.45.2
# software id = AEW2-CA85
#
# model = RB952Ui-5ac2nD
# serial number = ###########
/interface bridge
add name=bridge
add name=bridge-iptv protocol-mode=none
/interface pppoe-client
add add-default-route=yes disabled=no interface=bridge-iptv name=pppoe-out1 \
    password=#### profile=pppoe_default user=####
/interface bridge port
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
add bridge=bridge-iptv interface=ether1
add bridge=bridge-iptv interface=ether2
Последний раз редактировалось navisal 31 июл 2019, 02:28, всего редактировалось 2 раза.


seregaelcin
Сообщения: 176
Зарегистрирован: 27 фев 2016, 17:12

Думаю что нужно включать файрволл на бридже и размечать трафик
Схема как это все будет проходить ниже
https://wiki.mikrotik.com/wiki/Manual%3APacket_Flow

Ну и это все пипец будет как жрать ресурсы cpu


Обладатель Mikrotik RB2011UAS-2HnD-IN
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

Да не должно быть такова, таких схем (создания отдельного бриджа для IPTV)
делалась уже порядком много, никогда не слышал проблем от такова подхода.

1) надо проанализировать что куда у Вас там бегает, и как.

2) включить HW - но надо выбрать для кого будем включать (для локального бриджа,
или для бриджа IPTV), если локальными портами клиент не пользуется, или
мало очень, то HW я включаю на портах бриджа IPTV, а иначе, если у клиента
есть комп, ноутбук, то конечно включаю HW для локального бриджа,
так как локальная сеть всегда будет работать на полную скорость, а 10-15
мегабит для каналов = роутер программно спокойно прожуёт.

3) ну и надо проверить...а может ли 952 модель прожевать полные честные 100мбит
Интернета (NAT) + 11-15 мбит ещё и трафика IPTV?
Может проще взять 50-70 мбит тариф...и оставить запас по "физике" для трафика IPTV?

P.S.
Да и конфиг Вы не весь показали, может у Вас там ещё что-то настроено, что
съедает ресурсы, тот же IGMP пакет, ставят все, а зачем многие не знают.
Я бы ещё скинул бы роутер в чистое состояние, когда делаются настройки
на пре-заводских настройках, глюки = как норма.



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
navisal
Сообщения: 3
Зарегистрирован: 26 июл 2019, 09:51

Vlad-2 писал(а): 26 июл 2019, 15:39 2) включить HW - но надо выбрать для кого будем включать (для локального бриджа,
или для бриджа IPTV)
Спасибо за наводку, никогда не задумывался, что HW, оказывается, будет работать только на одном бридже, в моем случае. Естественно, у меня HW оказался включенным на локальном, хотя локальный порт используется только один почти всегда. Попробую HW на бридже IPTV, отпишусь.
А по поводу конфигов, у меня почти все стандартно. IGMP не стоит, шейперов нет, fasttrack включен, стандартная защита от скана портов и перебора паролей в firewall.
На картинке - максимальная загрузка канала - HD контент на приставке + торрент качалка на компе. HW включен на локальном бридже, есть небольшие рассыпания картинки. Загрузка проца роутера около 35%

 макс. нагрузка
приставка-комп.jpg
приставка-комп.jpg (130.81 КБ) 4054 просмотра


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

navisal писал(а): 30 июл 2019, 12:40 Спасибо за наводку, никогда не задумывался, что HW, оказывается, будет работать только на одном бридже, в моем случае. Естественно, у меня HW оказался включенным на локальном, хотя локальный порт используется только один почти всегда. Попробую HW на бридже IPTV, отпишусь.
А HW и должен работать на одном ЛОГИЧЕСКОМ лишь бридже, раньше у микротиков
был мастер-порт, это функция явно давала понять какой порт и другие связанные порты
будут между собой обмениваться через чип коммутации и не грузить проц микротика.
И мастер-порт был один и к нему можно было лишь подключить одну логическую
связку. ИСКЛЮЧЕНИЕ - это роутеры РБ2011/3011 которые физически имели
2 группы и соответственно там внутри одной группы портов можно тоже лишь
один мастер-порт сделать или одиножды использовать HW
navisal писал(а): 30 июл 2019, 12:40 А по поводу конфигов, у меня почти все стандартно. IGMP не стоит, шейперов нет, fasttrack включен, стандартная защита от скана портов и перебора паролей в firewall.
А тут Вы скромничаете, что за защита от скана? что защита от перебора? Покажите?
Фасттрак я не использую, люблю нативное явное использование всех возможностей
роутера.
Опять же, Вы описали что качалка стоит (торрент) = торрент может любой канал убить,
пакетов куча, они маленькие, так что я пока опять повторю свои слова = обычно нет
такой проблемы, где то Вы перехимичали.
Или под Ваши задачи уже требуется МОЩНАЯ железка.
navisal писал(а): 30 июл 2019, 12:40 На картинке - максимальная загрузка канала - HD контент на приставке + торрент качалка на компе. HW включен на локальном бридже, есть небольшие рассыпания картинки. Загрузка проца роутера около 35%
Отключите фасттрак, перегрузите роутер, и нагрузите канал, торренты и попробуйте
ещё раз проверить картинку.
Также ещё раз выскажу, что проще понизить тариф, но оставить физический запас
в "кабеле" для IPTV

P.S.
Жду конфигов защиты....
И кстати, опять же = по рекомендациям, файрвол не должен быть большим.
(25 правил советуют).



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
navisal
Сообщения: 3
Зарегистрирован: 26 июл 2019, 09:51

Vlad-2 писал(а): 30 июл 2019, 18:53 А HW и должен работать на одном ЛОГИЧЕСКОМ лишь бридже
Потестил HW на ИПТВ-бридже - проблема рассыпания картинки исчезла полностью, спасибо еще раз за наводку. При характере трафика, как на картинке в предыдущем посте, загрузка процессора роутера даже упала до 25% - это при включенном фасттрак. При отключенном - рассыпаний тоже нет, но загрузка в районе 65%.
Vlad-2 писал(а): 30 июл 2019, 18:53 Жду конфигов защиты....
Покритикуйте :smu:sche_nie: И тему можно закрывать
 ip firewall filter

Код: Выделить всё

/ip firewall filter
add action=add-src-to-address-list address-list=perebor_portov_drop \
    address-list-timeout=30m chain=input comment=Perebor_portov_add_list \
    dst-port=22,3389,5060,8291 in-interface=pppoe-out1 log-prefix=Attack \
    protocol=tcp
add action=drop chain=input comment=Perebor_portov_list_drop in-interface=\
    pppoe-out1 src-address-list=perebor_portov_drop
add chain=input comment=Allow_limited_pings in-interface=pppoe-out1 limit=\
    50/5s,2:packet protocol=icmp
add action=drop chain=input comment=Pings_Drop in-interface=pppoe-out1 \
    protocol=icmp
add action=add-dst-to-address-list address-list=connection-limit \
    address-list-timeout=1d chain=input comment=Connection_limit \
    connection-limit=200,32 in-interface=pppoe-out1 protocol=tcp
add action=drop chain=input comment=Adr_list_connection-limit_drop \
    in-interface=pppoe-out1 src-address-list=connection-limit
add action=accept chain=input comment="defconf: accept ICMP" disabled=yes \
    protocol=icmp
add action=drop chain=input comment=Port_scanner_drop src-address-list=\
    "port scanners"
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input in-interface=pppoe-out1 protocol=tcp \
    psd=21,3s,3,1
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input in-interface=pppoe-out1 protocol=tcp \
    tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input in-interface=pppoe-out1 protocol=tcp \
    tcp-flags=fin,syn
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input in-interface=pppoe-out1 protocol=tcp \
    tcp-flags=syn,rst
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input in-interface=pppoe-out1 protocol=tcp \
    tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input in-interface=pppoe-out1 protocol=tcp \
    tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list="port scanners" \
    address-list-timeout=2w chain=input in-interface=pppoe-out1 protocol=tcp \
    tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=accept chain=input comment=\
    "defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=accept chain=forward comment="defconf: accept in ipsec policy" \
    ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" \
    ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" \
    connection-state=established,related
add action=accept chain=forward comment=\
    "defconf: accept established,related, untracked" connection-state=\
    established,related,untracked
add action=jump chain=forward comment="Jump Drop-Bruteforcers RDP" \
    connection-state=new dst-port=3389 jump-target=check-bruteforce protocol=\
    tcp
add action=jump chain=forward connection-state=new dst-port=3389 jump-target=\
    check-bruteforce protocol=udp
add action=drop chain=forward comment="Drop-Bruteforcers RDP" \
    connection-state=new src-address-list=bruteforcer
add action=add-src-to-address-list address-list=bruteforcer \
    address-list-timeout=10m chain=check-bruteforce src-address-list=\
    bruteforce-stage-5
add action=add-src-to-address-list address-list=bruteforce-stage-5 \
    address-list-timeout=1m chain=check-bruteforce src-address-list=\
    bruteforce-stage-4
add action=add-src-to-address-list address-list=bruteforce-stage-4 \
    address-list-timeout=1m chain=check-bruteforce src-address-list=\
    bruteforce-stage-3
add action=add-src-to-address-list address-list=bruteforce-stage-3 \
    address-list-timeout=1m chain=check-bruteforce src-address-list=\
    bruteforce-stage-2
add action=add-src-to-address-list address-list=bruteforce-stage-2 \
    address-list-timeout=1m chain=check-bruteforce src-address-list=\
    bruteforce-stage-1
add action=add-src-to-address-list address-list=bruteforce-stage-1 \
    address-list-timeout=1m chain=check-bruteforce
add action=drop chain=input comment=Drop_winbox_black_list dst-port=5322,5391 \
    in-interface=pppoe-out1 protocol=tcp src-address-list=black_list
add action=add-src-to-address-list address-list=black_list \
    address-list-timeout=5m chain=input connection-state=new dst-port=\
    5322,5391 in-interface=pppoe-out1 protocol=tcp src-address-list=\
    Winbox_Ssh_stage3
add action=add-src-to-address-list address-list=Winbox_Ssh_stage3 \
    address-list-timeout=1m chain=input connection-state=new dst-port=\
    5322,5391 in-interface=pppoe-out1 protocol=tcp src-address-list=\
    Winbox_Ssh_stage2
add action=add-src-to-address-list address-list=Winbox_Ssh_stage2 \
    address-list-timeout=1m chain=input connection-state=new dst-port=\
    5322,5391 in-interface=pppoe-out1 protocol=tcp src-address-list=\
    Winbox_Ssh_stage1
add action=add-src-to-address-list address-list=Winbox_Ssh_stage1 \
    address-list-timeout=1m chain=input connection-state=new dst-port=\
    5322,5391 in-interface=pppoe-out1 protocol=tcp
add action=accept chain=input comment=Accept_Winbox_Ssh dst-port=5322,5391 \
    in-interface=pppoe-out1 protocol=tcp
add action=accept chain=input comment=\
    "defconf: accept established,related,untracked" connection-state=\
    established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" \
    connection-state=invalid
add action=drop chain=forward comment=\
    "defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat \
    connection-state=new in-interface-list=WAN
add action=drop chain=input comment="defconf: drop invalid" connection-state=\
    invalid
add action=drop chain=input comment="defconf: drop all not coming from LAN" \
    in-interface-list=!LAN


Ответить