LAN трафик идёт через WAN порт

[dTi]

Здравствуйте.

Название темы корявое, но как это назвать адекватнее не получается.

Есть девайс RB952Ui-5ac2nD на прошивке 6.47.8.
Eth1 - провайдер с PPPoE, Eth3 - кабель на свитч. Eth2-Eth5 соединены в бридж.

Ситуация следующая: при копировании файлов с ПК1 на ПК2, которые подключены к свитчу скорость копирования (график проводника Windows) приближается к 12МБ/с, держится несколько минут, потом резко падает на 355кб/с. Убрали из уравнения свитч и воткнули ПК1 (Eth2) и ПК2 (Eth3) напрямую в роутер, проверяем ещё раз - тоже самое.
В логах микротика пусто, никаких событий в момент обвала скорости нет. Начали рыть дальше. Увидели, что пока скорость держится на максимуме в списке интерфейсов загрузка видна на Eth2 и Eth3, что логично, ведь копирование идёт между ними. А в момент падения трафик начинает идти через Eth1 и PPPoE-out. Эта хурма длится до тех пор, пока роутер не перезагрузится.

Что пробовали делать:
1. Перешивали роутер, сбрасывали - без результатов.
2. Сбрасывали роутер с пустым заводским конфигом - без результатов.
3. Взяли другой роутер попробовали его с конфигом, который был на первом - без результатов.
4. Создали новый конфиг на новом роутере - без результатов.
5. На бридже переключили режим ARP в reply-only, а на DHCP включили Add ARP for leases - без результатов.
6. Копировали с выключенным микротиком - 45Гб файл скопировался на максимальной скорости.
7. Удалили все правила фаервола - без результатов.

Выкладывать конфиг смысла не вижу, его от чистого отличает только настройка PPPoE, указание адреса роутера и диапазона DHCP.

Трафик всё равно сворачивает на интерфейс PPPoE и скорость режется.
Скрин того, как выглядит блок Interfaces в момент падения скорости (с локалкой через свитч) прикреплён сюда.


У кого какие идеи?

UPD 1. На конечных компах поставить статический адрес скорость не падает, eth1 не пропускает через себя трафик. Что не так с заводскими настройками DHCP?

[xvo]

Конфиг в студию.

[dTi]

Конфиг в студию.

Код: Выделить всё

# dec/05/2020 19:49:44 by RouterOS 6.47.8
# software id = 6ADD-LMI1
#
# model = RB952Ui-5ac2nD
# serial number = 924E09068D4B
/interface bridge
add arp=reply-only dhcp-snooping=yes igmp-snooping=yes name=bridge1
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \
    password=XXXXXXXX use-peer-dns=yes user=XXXXXXXXXXXXXXXXX
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n disabled=no mode=ap-bridge \
    ssid=LF wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-n/ac disabled=no mode=ap-bridge ssid=\
    LF wireless-protocol=802.11
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk group-ciphers=\
    tkip,aes-ccm mode=dynamic-keys supplicant-identity=MikroTik \
    unicast-ciphers=tkip,aes-ccm wpa-pre-shared-key=XXXXXXXXXX \
    wpa2-pre-shared-key=XXXXXXXXXX
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip pool
add name=dhcp ranges=10.10.66.150-10.10.66.169
/ip dhcp-server
add add-arp=yes address-pool=dhcp disabled=no interface=bridge1 name=dhcp1
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan2
add bridge=bridge1 interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/interface list member
add interface=pppoe-out1 list=WAN
add interface=bridge1 list=LAN
/ip address
add address=10.10.66.1/24 interface=ether2 network=10.10.66.0
/ip dhcp-client
add interface=ether1
/ip dhcp-server lease
add address=10.10.66.201 mac-address=B4:2E:99:9C:02:90 use-src-mac=yes
/ip dhcp-server network
add address=10.10.66.0/24 gateway=10.10.66.1 netmask=24
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=input connection-state=established
add action=accept chain=input connection-state=related
add action=drop chain=input in-interface-list=!LAN
/ip firewall nat
add action=masquerade chain=srcnat out-interface-list=WAN
/system clock
set time-zone-name=Europe/Volgograd
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN

[xvo]

Тут как-будто бы все в порядке (кроме того, что внутренний адрес надо бы перевесить с ether2 на bridge).

Покажите ещё /ip address print
И нужен ли dhcp-клиент на ether1?
А то может вам со стороны провайдера адреса прилетают пересекающиеся с вашей внутренней подсетью?

[dTi]

Тут как-будто бы все в порядке (кроме того, что внутренний адрес надо бы перевесить с ether2 на bridge).

Покажите ещё /ip address print
И нужен ли dhcp-клиент на ether1?
А то может вам со стороны провайдера адреса прилетают пересекающиеся с вашей внутренней подсетью?

Код: Выделить всё

Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                                                                                                                                                                                            
 0   10.10.66.1/24      10.10.66.0      ether2                                                                                                                                                                                               
 1 D 94.77.XXX.XXX/32   80.80.111.83    pppoe-out1 

Дописал в UPD1: если поставить статику на ПК - проблемы нет. Но есть парк мобильных девайсов, на каждом настраивать статику не очень удобно. Может есть обходной вариант? Сменить внутреннюю подсеть?

[xvo]

Дописал в UPD1: если поставить статику на ПК - проблемы нет. Но есть парк мобильных девайсов, на каждом настраивать статику не очень удобно. Может есть обходной вариант? Сменить внутреннюю подсеть?

Все это не очень объясняет в чем причина проблемы.

Во-первых, отключите dhcp-клиент на ether1.
Во-вторых, наполните цепочку forward firewall'а, а то например вы от доступа из провайдерской сети в свою никак не защищены.
И в-третьих, все-таки перенесите dhcp-сервер на бридж.

[dTi]

Дописал в UPD1: если поставить статику на ПК - проблемы нет. Но есть парк мобильных девайсов, на каждом настраивать статику не очень удобно. Может есть обходной вариант? Сменить внутреннюю подсеть?

Все это не очень объясняет в чем причина проблемы.

Во-первых, отключите dhcp-клиент на ether1.
Во-вторых, наполните цепочку forward firewall'а, а то например вы от доступа из провайдерской сети в свою никак не защищены.
И в-третьих, все-таки перенесите dhcp-сервер на бридж.

Фаервол отключен только для выявления проблемы, обязательно включу назад. DHCP включен только на бридже, поэтому Eth1 не был затронут в принципе.
После смены внутренней подсети на другую проблема ушла. Конечно, это всё удивительно. До микротика тут 5 лет стоят pfSense с той же подсетью 10.10.66.0/24 и такая проблема не наблюдалась ни разу.
В любом случае спасибо за ответы.

[xvo]

DHCP включен только на бридже, поэтому Eth1 не был затронут в принципе.

Конфиг говорит об обратном:

Код: Выделить всё

/ip dhcp-client
add interface=ether1