hEX S очень странно повисает - не могу понять причину

[podarok66]

Ну я, кстати, поверю. Это ж торрент.На 75х и 95х серии 100 Мбит закачки уводили в 100% загрузку проца. Я на них долгонько сети строил. Потом вышли RB 750G r3 и 100 Мбит стали прожёвываться с нагрузкой менее 30%. Теперь я сторонник отдельных железок под WiFi. Но 300 МБит - для подобных железок (RB 750G r3 и другие одноклассники) серьёзное испытание. Повторю, торрент далеко не обычный поток, там всё серьёзнее. Я так думаю из-за фрагментации и множественности источников, хреновой кучи служебного трафика и подтверждений приёма, повторения не прошедших пакетов и т. д. Если настолько сложно с нагрузкой уже на этом этапе, лучше пойти по пути нашего Дракона, взять CCR , что-то типа MikroTik CCR1009-7G-1C-PC Вот тут точно запас по железу позволит влезть в любой тариф с ногами. Максимализм в запросах должен подтверждаться максимализмом в оснащении

[Suziko]

Но от этого не легче (в Вашей задаче), РБ760 - мощный роутер, на нём работают мини-офисы, гостиницы,
в рамках средних показателей, это где-то 20-60 компов точно + вифи и + ещё всякого.
Понятно, что определённым трафиком можно "уложить" любой роутер, но всё же РБ760
достаточно хорош, да и я не видел чтобы он нагружался в обычной жизненной ситуации.
Канала в 300мбит у меня нет, проверить не могу.

Поэтому хотелось бы увидеть это от Вас и/или чтобы Вы проделали:
1) показали конфиг
2) про-анализировали какие порты как работают, может что-то можно поменять,
то есть может есть возможность какие-то задачи по коммутации переложить
на свитч (ну а вдруг он(свитч) есть и будет проще роутеру)?
3) так как у Вас был роутер другой и Вы переехали на этот, думаю что конфигурацию
в лучшем случаи делали руками и кусками, в худшем через визард (QuickSetup)?
Отсюда можно сделать вывод, и частично предполагать что в конфиге могут быть баги.
И отталкиваясь что Вы работаете в веб-форме, думаю часть нюансов по конфигурации
всё равно есть.

Поэтому самый простой способ, это обнулить роутер и настроить руками с нуля, и проверить
скорость, ну а дальше уже по накатанной....

Спасибо за предложение!

По топологии: оптика от оператора приходит в SFP1, там постоянный белый IP. Внутри все просто: 192.168.1.0/24, все порты равнозначны. После роутера стоит свитч на 12 портов, Wi-Fi инфраструктура с контроллером отдельно. Есть интерфейс l2tp, который приземляется там где не режут трафик и в него отправляется только явно указанные адреса из листа по отдельному маршруту. Конфиг я делал winbox'ом с нуля, но уверен - что-то лишнее найдется :).

Код: Выделить всё

# feb/18/2020 16:01:51 by RouterOS 6.46.3
# software id = 63LG-KDRL
#
# model = RB760iGS
# serial number = A36A0A3392CD
/interface bridge
add admin-mac=B8:69:F4:AF:D8:6D auto-mac=no name=bridge
/interface ethernet
set [ find default-name=sfp1 ] advertise="10M-half,10M-full,100M-half,100M-ful\
    l,1000M-half,1000M-full,2500M-full,5000M-full,10000M-full" loop-protect=\
    off mac-address=44:D9:E7:9F:57:5F rx-flow-control=auto speed=1000Mbps \
    tx-flow-control=auto
/interface l2tp-client
add allow=mschap1,mschap2 connect-to=x.x.x.x disabled=no ipsec-secret=\
    xxxxxxxxxxx name=l2tp-out1 password=xxxx use-ipsec=yes user=\
    xxxxxxxx
/interface list
add name=WAN
add name=LAN
/ip dhcp-server option
add code=43 name=UniFi value=0x0104C0A80105
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=192.168.1.11-192.168.1.99
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge lease-time=1d name=DHCP1
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge hw=no interface=ether1
add bridge=bridge disabled=yes interface=sfp1
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface detect-internet
set detect-interface-list=all internet-interface-list=WAN
/interface list member
add interface=bridge list=LAN
add interface=l2tp-out1 list=WAN
add interface=sfp1 list=WAN
/ip address
add address=192.168.1.1/24 comment=defconf interface=ether1 network=\
    192.168.1.0
add address=x.x.x.x/x interface=sfp1 network=x.x.x.x
/ip dhcp-client
add interface=sfp1
/ip dhcp-server lease
add address=192.168.1.2 comment=Darius mac-address=00:08:9B:C4:AA:96 server=\
    DHCP1
add address=192.168.1.3 comment=Xerxes mac-address=24:5E:BE:04:2F:C1 server=\
    DHCP1
add address=192.168.1.5 comment=UniFi mac-address=80:2A:A8:4D:8B:87 server=\
    DHCP1
add address=192.168.1.12 comment="Camera 1" mac-address=E0:B9:4D:89:46:0E \
    server=DHCP1
add address=192.168.1.13 comment="Camera 2" mac-address=E0:B9:4D:89:E8:29 \
    server=DHCP1
add address=192.168.1.10 comment=iMac mac-address=AC:87:A3:11:64:A1 server=\
    DHCP1
add address=192.168.1.15 comment=Panasonic mac-address=00:80:F0:D7:05:E7 \
    server=DHCP1
add address=192.168.1.23 comment="HP Laserjet" mac-address=78:E3:B5:FA:95:41 \
    server=DHCP1
add address=192.168.1.11 client-id=1:b8:e8:56:33:d3:bc comment=MacBook \
    mac-address=B8:E8:56:33:D3:BC server=DHCP1
/ip dhcp-server network
add address=192.168.1.0/24 comment="Home network" dhcp-option=UniFi \
    dns-server=192.168.1.1 gateway=192.168.1.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8,8.8.4.4
/ip dns static
add address=192.168.1.1 name=router.lan
/ip firewall address-list
add address=195.82.146.120/30 comment=btx.t-ru.org list=RKN
add address=Telegram.me list=RKN
add address=rutracker.org list=RKN
add address=nnm-club.me list=RKN
add address=Kinozal.tv list=RKN
add address=Linkedin.com list=RKN
add address=www.linkedin.com list=RKN
add address=nnmclub.to list=RKN
add address=192.168.1.2 list=Servers
add address=192.168.1.3 list=Servers
add address=192.168.1.0/24 list=LAN
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
    established,related
add action=accept chain=input comment=\
    "Accept established,related,untracked; Drop invalid" connection-state=\
    established,related,untracked
add action=drop chain=input connection-state=invalid
add action=accept chain=forward connection-state=\
    established,related,untracked
add action=drop chain=forward connection-state=invalid
add action=drop chain=input comment="Drop blacklist" in-interface-list=WAN \
    src-address-list=Blacklist
add action=accept chain=input comment=ICMP protocol=icmp
add action=add-src-to-address-list address-list=Blacklist \
    address-list-timeout=2w chain=input comment=\
    "Scan detection & blacklisting" in-interface=sfp1 protocol=tcp psd=\
    21,3s,3,1
add action=add-src-to-address-list address-list=Blacklist \
    address-list-timeout=2w chain=input in-interface=sfp1 protocol=tcp \
    tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=Blacklist \
    address-list-timeout=2w chain=input in-interface=sfp1 protocol=tcp \
    tcp-flags=fin,syn
add action=add-src-to-address-list address-list=Blacklist \
    address-list-timeout=2w chain=input in-interface=sfp1 protocol=tcp \
    tcp-flags=syn,rst
add action=add-src-to-address-list address-list=Blacklist \
    address-list-timeout=2w chain=input in-interface=sfp1 protocol=tcp \
    tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=Blacklist \
    address-list-timeout=2w chain=input in-interface=sfp1 protocol=tcp \
    tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=Blacklist \
    address-list-timeout=2w chain=input in-interface=sfp1 protocol=tcp \
    tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=TempWhitelist \
    address-list-timeout=15s chain=input comment="Remote console" dst-port=\
    xxxx protocol=tcp
add action=add-src-to-address-list address-list=Whitelist \
    address-list-timeout=1h chain=input dst-port=xxxx log=yes log-prefix=\
    Knock-knock protocol=tcp src-address-list=TempWhitelist
add action=accept chain=input dst-port=xxxx protocol=tcp src-address-list=\
    Whitelist
add action=accept chain=input disabled=yes dst-port=8291 protocol=tcp \
    src-address-list=Whitelist
add action=drop chain=input comment="drop all not coming from LAN" \
    in-interface-list=!LAN
add action=drop chain=forward comment="Drop all coming from WAN not DSTNATed" \
    connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall mangle
add action=mark-routing chain=prerouting comment="Mark RKN blocked sites" \
    dst-address-list=RKN new-routing-mark=9 passthrough=no src-address-list=\
    LAN
add action=mark-routing chain=prerouting comment="Mark traffic from host" \
    disabled=yes dst-port=80,443 new-routing-mark=9 passthrough=no protocol=\
    tcp src-address=192.168.1.11
/ip firewall nat
add action=masquerade chain=srcnat ipsec-policy=out,none out-interface-list=\
    WAN
add action=dst-nat chain=dstnat comment="Xerxes http" disabled=yes dst-port=\
    80 in-interface=sfp1 protocol=tcp src-address-list=!Blacklist \
    to-addresses=192.168.1.3 to-ports=80
add action=dst-nat chain=dstnat comment="Xerxes ssl" dst-port=443 \
    in-interface=sfp1 protocol=tcp src-address-list=!Blacklist to-addresses=\
    192.168.1.3 to-ports=443
add action=dst-nat chain=dstnat comment="Darius ssl" dst-port=8443 \
    in-interface=sfp1 protocol=tcp src-address-list=!Blacklist to-addresses=\
    192.168.1.2 to-ports=443
add action=dst-nat chain=dstnat comment=Plex dst-port=32400 in-interface=sfp1 \
    protocol=tcp src-address-list=!Blacklist to-addresses=192.168.1.3 \
    to-ports=32400
add action=dst-nat chain=dstnat comment="Xerxes download station" disabled=\
    yes dst-port=6881-6899 in-interface=sfp1 protocol=tcp to-addresses=\
    192.168.1.3 to-ports=6881-6899
add action=dst-nat chain=dstnat comment="Transmission GUI" dst-port=9091 \
    in-interface=sfp1 protocol=tcp src-address-list=Whitelist to-addresses=\
    192.168.1.3 to-ports=9091
add action=dst-nat chain=dstnat comment=Transmission dst-port=51413 \
    in-interface=sfp1 protocol=tcp to-addresses=192.168.1.3 to-ports=51413
add action=dst-nat chain=dstnat comment="Xerxes FTP" dst-port=8021 \
    in-interface=sfp1 protocol=tcp src-address-list=Whitelist to-addresses=\
    192.168.1.3 to-ports=21
add action=dst-nat chain=dstnat comment="Xerxes rsync" disabled=yes dst-port=\
    873 in-interface=sfp1 protocol=tcp src-address-list=!Blacklist \
    to-addresses=192.168.1.3 to-ports=873
add action=dst-nat chain=dstnat comment="Xerxes FTP passive" dst-port=\
    55536-55560 in-interface=sfp1 protocol=tcp src-address-list=Whitelist \
    to-addresses=192.168.1.3 to-ports=55536-55560
add action=dst-nat chain=dstnat comment="Xerxes Hairpin" dst-address=\
    x.x.x.x dst-port=80,443,32400,9091,873 protocol=tcp src-address=\
    192.168.1.0/24 to-addresses=192.168.1.3
add action=masquerade chain=srcnat comment="Xerxes Hairpin NAT" dst-address=\
    192.168.1.3 dst-port=80,443,32400,9091,873 protocol=tcp src-address=\
    192.168.1.0/24
add action=dst-nat chain=dstnat comment="Darius Hairpin" dst-address=\
    x.x.x.x dst-port=8443 protocol=tcp src-address=192.168.1.0/24 \
    to-addresses=192.168.1.2 to-ports=443
add action=masquerade chain=srcnat comment="Darius Hairpin NAT" dst-address=\
    192.168.1.2 dst-port=443 protocol=tcp src-address=192.168.1.0/24
/ip firewall service-port
set sip disabled=yes
/ip route
add comment="Route all marked to L2TP" distance=1 gateway=l2tp-out1 \
    routing-mark=9
add distance=1 gateway=x.x.x.x
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set www-ssl certificate=xxxxxx_com.pem_0 disabled=no port=xxxx
set api disabled=yes
set api-ssl disabled=yes
/ip upnp
set show-dummy-rule=no
/system clock
set time-zone-name=Europe/Moscow
/system leds
set 0 interface=sfp1 type=interface-status
/system resource irq rps
set ether1 disabled=yes
set ether2 disabled=yes
set ether3 disabled=yes
set ether4 disabled=yes
set ether5 disabled=yes
/system routerboard settings
set auto-upgrade=yes
/system watchdog
set ping-timeout=10m watch-address=x.x.x.x
/tool graphing interface
add interface=sfp1
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[Suziko]

Ну я, кстати, поверю. Это ж торрент.На 75х и 95х серии 100 Мбит закачки уводили в 100% загрузку проца. Я на них долгонько сети строил. Потом вышли RB 750G r3 и 100 Мбит стали прожёвываться с нагрузкой менее 30%. Теперь я сторонник отдельных железок под WiFi. Но 300 МБит - для подобных железок (RB 750G r3 и другие одноклассники) серьёзное испытание. Повторю, торрент далеко не обычный поток, там всё серьёзнее. Я так думаю из-за фрагментации и множественности источников, хреновой кучи служебного трафика и подтверждений приёма, повторения не прошедших пакетов и т. д. Если настолько сложно с нагрузкой уже на этом этапе, лучше пойти по пути нашего Дракона, взять CCR , что-то типа MikroTik CCR1009-7G-1C-PC Вот тут точно запас по железу позволит влезть в любой тариф с ногами. Максимализм в запросах должен подтверждаться максимализмом в оснащении

Ого! Здоровый какой! Думаю не влезет в шкаф - там с местом напряженно.
В остальном я думаю все резонно - с торрентом вне все так легко.
Спасибо за помощь!

[Suziko]

Ну и для теста разгрузим встроенный свитч, скинув все на вторичный:




При включенном fasttrack и единственном проводе в первом порту нагрузка при заливке торрентов выглядит следующим образом:

[Vlad-2]

Конфиг я делал winbox'ом с нуля, но уверен - что-то лишнее найдется :).

В целом конфиг хороший, и не простой, но чисто мелких пару замечаний.

1)

Код: Выделить всё

add bridge=bridge disabled=yes interface=sfp1

Хоть порт sfp1 и выключен в настройках принадлежности к бриджу, советую явно его оттуда
"вытащить", а попросту удалите порт sfp1 из состава бриджа.
Было один раз так, что порт который в составе бриджа отключён, но был, сеть тупила, убрал
явно порт из состава бриджа (при этом порт был отключён как сущность в бридже) - сеть
заработала.
Поэтому чисто косметически, порт sfp1 - это внешка и делать ему в локальном бридже совсем нет
смысла и резонности.

2) также у Вас стоит защита в файрволе так я понял от всяких сканеров и прочего + Кнок-кнок + ещё всякое ?
Это тоже нагружает процессор роутера, у Вас по последнему скрину - файрвол 22% забирает, не мало.

3) маркировка(и) - тоже небольшая, но нагрузка

4)

Код: Выделить всё

/system resource irq rps
set ether1 disabled=yes
set ether2 disabled=yes
set ether3 disabled=yes
set ether4 disabled=yes
set ether5 disabled=yes

А это что такое ? И для чего?


Может есть смысл взять канал скажем в 150мбит, будет подешевле, железка будет справляться,
и узел пока в таком состоянии как есть, будет работать? Или как-то запретить торренты, начиная
от указов и административного ресурса, до......
Почему бы лимиты не нарезать хотя бы простые....? Всей сети не больше 100 и всё...

[Suziko]

В целом конфиг хороший, и не простой, но чисто мелких пару замечаний.
...
1) add bridge=bridge disabled=yes interface=sfp1

2) также у Вас стоит защита в файрволе так я понял от всяких сканеров и прочего + Кнок-кнок + ещё всякое ?
Это тоже нагружает процессор роутера, у Вас по последнему скрину - файрвол 22% забирает, не мало.

3) маркировка(и) - тоже небольшая, но нагрузка

4)

Код: Выделить всё

/system resource irq rps
set ether1 disabled=yes
set ether2 disabled=yes
set ether3 disabled=yes
set ether4 disabled=yes
set ether5 disabled=yes

А это что такое ? И для чего?


Может есть смысл взять канал скажем в 150мбит, будет подешевле, железка будет справляться,
и узел пока в таком состоянии как есть, будет работать? Или как-то запретить торренты, начиная
от указов и административного ресурса, до......
Почему бы лимиты не нарезать хотя бы простые....? Всей сети не больше 100 и всё...

Прошел по пунктам и поправил.

1. Полностью согласен, недосмотрел.
2. Наружу смотрят пара серверов, которыми активно пользуются. Запихиваю в блеклисты на две недели за попытки перебирать порты и разнюхивать. Knock-knock нужен, чтобы открыть себе админку извне - всякое бывает.
3. Нужно для выброса определенного трафика в l2tp.
4. Да, не помню зачем я это сделал. Убрал.

Еще пара моментов.

Оператор дает 100 или сразу 300. Захотел попробовать 300, предложение было хорошее по цене.
Следуя совету ранее прописал fasttrack, стало лучше, но лимиты и очереди теперь уже не нарезать.
Торренты мне для себя - это домашний set up, поэтому админ я сам себе и не хочу себя ограничивать в том, за что заплатил

Спасибо большое за комментарии и взгляд в конфиг!

[Vlad-2]

Оператор дает 100 или сразу 300. Захотел попробовать 300, предложение было хорошее по цене.
Следуя совету ранее прописал fasttrack, стало лучше, но лимиты и очереди теперь уже не нарезать.
Торренты мне для себя - это домашний set up, поэтому админ я сам себе и не хочу себя ограничивать в том, за что заплатил

Спасибо большое за комментарии и взгляд в конфиг!

1) ну согласен, себя любить надо, просто может быть временно, чисто в академическом интересе
ограничить торрент хотя бы 100-150мбит, и посмотреть как будет вести себя роутер при таком режиме?
(хотя бы на 2-4 часа или на пол-дня)

2) у Вас нет атак на входящем канале? Часто бывают что много атак, если много, может есть смысл
поговорить/порешать данную проблему с провайдером? Просто бывало много раз, что у клиента
скажем канал (по тарифу) скажем 5-10 мбит, а атаки идут чуть ли не по 30-70 мбит (пакеты мелкие,
и шейпер провайдера такие пакеты пропускал).

2.1) параллельно поиграться защитой, вынести ряд защит в таблицу RAW, это сэкономит процессорное
время, а значит и нагрузку. (при атаке/флуде на порт ДНС (53), при средне-солидной атаки "домашние"
роутеры (типа 951/952) уже проседают порой по полной, но если вынести защиту от флуда
в RAW - спокойно выдерживают 2х-4х кратную уже атаку.

2.2) в закладке Connection (я всё ещё про файрвол) есть кнопка Tracking, нажмите и найдите
параметр "TCP Established Timeout" - обычно он равен 24 часам (1 сутки), я конечно
не через чур злоупотребляю, но делаю данное значение 8 или 6 или 4 часа, а кто и 30 минут ставит.
Поиграйтесь, данный параметр позволит более оптимально использовать ресурсы. Мизер, но
тоже плюс определённый в копилку тюнинга.

2.3) в таблице Мангле - Вы помечаете и заворачиваете трафик, это понятно, но обычно тренера
советуют делать через марк-коннекшион, а потом уже марк-роутинг, более оптимально работает
(с их слов).

2.4) не игрались защитой - "TCP SynCookies" ? (IP - Settings) (галочку поставить надо, по дефолту
вроде бы не стоит)

2.5) в настройках DNS (IP - DNS) я бы посоветовал ряд параметров поднять (поднять кеш, макс.
кол-во запросов) и так далее. Вдруг у Вас ДНС медленный, также я бы добавил минимум 2 провайдерских,
и 1-2 внешних публичных ДНСов.

3) а если ВСЁ же без фасттрака, и + ряд советов по оптимизации выше - сколько вытягиваете максимум?
Я бы для надёжности (канала, связи и в целом для постоянства) наверно был согласен лимитировать
торренты (на одном компе), зато и роутер держит и сеть вся не отваливается и всё работает стабильно.

4) напомните, у Вас адрес от провайдера постоянный или динамический?
Если адрес постоянный, то можно (советую так) в НАТе заменить правила маскарайдинга,
на правила SRC-NAT, это тоже ускоряет работу, микротику не надо анализировать
КАЖДЫЙ пакет, адрес и так далее, что заметно в целом будет при большом потоке данных.

[Suziko]

Большое спасибо за ваше время!

Ниже пробежал по пунктам

1) ...просто может быть временно, чисто в академическом интересе
ограничить торрент хотя бы 100-150мбит, и посмотреть как будет вести себя роутер при таком режиме?
(хотя бы на 2-4 часа или на пол-дня)

Я проводил такие тестирования, если лимит загрузки поставить на 20МБ/с, то проблемы не будет. Далее чем выше скорость, тем быстрее роутер вылетит. Но вылетает с показанием температуры CPU 53С. Не факт, что связано, но есть некоторая закономерность.

2) у Вас нет атак на входящем канале? Часто бывают что много атак, если много, может есть смысл
поговорить/порешать данную проблему с провайдером? Просто бывало много раз, что у клиента
скажем канал (по тарифу) скажем 5-10 мбит, а атаки идут чуть ли не по 30-70 мбит (пакеты мелкие,
и шейпер провайдера такие пакеты пропускал).

Это был мой первый вопрос провайдеру и ответ был очень странный: "мы не шейпим трафик с белым постоянным IP". Как тогда регулируется моя скорость для меня осталось непонятным. Возможно я что-то не понимаю, я все-таки пользователь.

2.1) параллельно поиграться защитой, вынести ряд защит в таблицу RAW, это сэкономит процессорное
время, а значит и нагрузку. (при атаке/флуде на порт ДНС (53), при средне-солидной атаки "домашние"
роутеры (типа 951/952) уже проседают порой по полной, но если вынести защиту от флуда
в RAW - спокойно выдерживают 2х-4х кратную уже атаку.

Вот это для меня новая информация. Если будет пара толковых ссылок и примеров - буду благодарен. Пойду изучать.

2.2) в закладке Connection (я всё ещё про файрвол) есть кнопка Tracking, нажмите и найдите
параметр "TCP Established Timeout" - обычно он равен 24 часам (1 сутки), я конечно
не через чур злоупотребляю, но делаю данное значение 8 или 6 или 4 часа, а кто и 30 минут ставит.
Поиграйтесь, данный параметр позволит более оптимально использовать ресурсы. Мизер, но
тоже плюс определённый в копилку тюнинга.

Спасибо, подкрутил на 2 часа вместо 24.

2.3) в таблице Мангле - Вы помечаете и заворачиваете трафик, это понятно, но обычно тренера
советуют делать через марк-коннекшион, а потом уже марк-роутинг, более оптимально работает
(с их слов).

Да, видел эту презентацию с последовательно маркировкой соединения, и только потом пакетов или маршрута. Но объем это маркировки у меня детский, но я попробую.

2.4) не игрались защитой - "TCP SynCookies" ? (IP - Settings) (галочку поставить надо, по дефолту
вроде бы не стоит)

Галки не было, поставил.

2.5) в настройках DNS (IP - DNS) я бы посоветовал ряд параметров поднять (поднять кеш, макс.
кол-во запросов) и так далее. Вдруг у Вас ДНС медленный, также я бы добавил минимум 2 провайдерских,
и 1-2 внешних публичных ДНСов.

Тут все и так не плохо, как мне кажется:

3) а если ВСЁ же без фасттрака, и + ряд советов по оптимизации выше - сколько вытягиваете максимум?
Я бы для надёжности (канала, связи и в целом для постоянства) наверно был согласен лимитировать
торренты (на одном компе), зато и роутер держит и сеть вся не отваливается и всё работает стабильно.

Без фасттрака тянул 20МБ/с как написал выше. С фастом могу на всю ширину до 35МБ/с держит ровно и даже ощущения как отзываются страницы и сервисы, когда идешь к себе извне, намного лучше.

4) напомните, у Вас адрес от провайдера постоянный или динамический?
Если адрес постоянный, то можно (советую так) в НАТе заменить правила маскарайдинга,
на правила SRC-NAT, это тоже ускоряет работу, микротику не надо анализировать
КАЖДЫЙ пакет, адрес и так далее, что заметно в целом будет при большом потоке данных.

Постоянный на WAN, но dhcp на l2tp, когда маскарад один. Надо разрезать потоки отдельно, тогда пойдет. Я подумаю над этим.

Что мне во всей истории не нравится: почему при перегрузке CPU роутер невосстановимо потухает? Почему просто не тормозит? Я всерьез подозреваю аппаратную проблему, а фасттрак просто обходным решением по недопущению перегрева/перегрузки процессора. Не должно такого быть. Есть у меня в загашнике Ubiquity Edge Router PoE, так он при перегрузке просто разогревается как утюг и тупит, но не валится.

Решил сделать ход конем: заказал на выходные себе 4011 погонять, который без Wi-Fi, там архитектура другая и процессор посильнее. Попробую свой конфиг без fasttrack туда залить и посмотреть как он будет себя вести.

[Vlad-2]

Большое спасибо за ваше время!

Да не за что.

РБ760 мне нравиться, хорошая рабочая лошадка для мини-офисов.
Может и в самом деле у Вас брак попался, никто не застрахован от этого.

Кажется в прошлом году (тут на форуме) я делал подборку температур РБ760 (у меня были доступы к парочке чужим роутерам,
один из них работал как медиаконвертор, оптику в витую пару транслировал, один работал питаясь по РОЕ, один был
в контейнере и в холоде и в жару). В целом показатели температур разнились. Там где оптика, там на 3-7 градусов теплее.
Но явных глюков вот на 4-5 устройств, которые косвенно и удалённо я видел, смотрел, и помогал настраивать частично - не было.

Стоит такой же роутер у моих родителей в другом городе, стоит в комнате, за компьютерным столом (весит на стене),
вентиляции там не много, порты заняты все, канал 100мбит (тарифный план, но гигабитный линк от провайдера),
+ 2 IPTV (две разные приставки). Температура 49-52 (повторюсь в комнате, где воздух около 27-28 гр).

Вот это для меня новая информация. Если будет пара толковых ссылок и примеров - буду благодарен. Пойду изучать.

Ну всю важную и самую правдивую информацию можно взять на wiki.mikrotik.com.
RAW - позволяет делать с пакетами ряд действий, не помещая такие пакеты
в таблицу коннекшион, а значит роутеру не надо отслеживать данные соединения и пакеты.
Немного грубо конечно описал, но формально это вторая внешняя дверь для грубых, не нужных
гостей.
Поэтому перенесите ряд правил в RAW, а частично, скажем обнаружение сканирование - пока отключите.
Я не использую такие правила, ну просканировали, ну и пусть. Не зря же производитель рекомендует
(не формально конечно) придерживаться кол-во правил равное 25 (плюс/минус).

Спасибо, подкрутил на 2 часа вместо 24.

После этого я бы для верности сделал ребут роутеру.

Тут все и так не плохо, как мне кажется:

Ну ДНС это всегда тонкая грань...
У меня так:

Я поднял с 2х до 4х ожидание ответа
Мак-коннекшины увеличил в 10-50 раз
Кеш TTL уменьшил, зачем мне хранить 7 дней, многие зоны сейчас
динамические, хранить их бесполезно.

Решил сделать ход конем: заказал на выходные себе 4011 погонять, который без Wi-Fi, там архитектура другая и процессор посильнее. Попробую свой конфиг без fasttrack туда залить и посмотреть как он будет себя вести.

Ждём-с результата, но лучше выжать и понять что с РБ760. Может и в самом деле,
брак, прошить ещё раз NetInstall'ом, ну а нет, поиграться тогда с РБ4011 и на практике
посмотреть, что да как.

P.S.
Вспомнил, кто-то из обзорщиков порекомендовал доп-отверстия сделать в корпусе для охлаждения.
Также помню старые видео-ролики, там клеили радиаторы на микросхемы.
Не знаю, спорно мне кажется делать такие вещи, тем более в рамках моих и чужих запросов,
РБ760 более чем достойная.

[Suziko]

Пришел 4011, перелил конфиг 1:1 с мелкими правками, Fasttrack пока не убрал - нужно время на тесты, так как с момента, как я его прописал на этой неделе, у меня перестал наконец-то лагать IPTV (edem.tv и tocamoe.tv)



Скорость закачки торрентов выросла при том же тарифе в 300МБит.



И при такой закачке загрузка CPU выглядит следующим образом:



Позднее вернусь с обратной связью.