wAP LTE6 - где скорость?

[Skylear]

Всем привет. Помогите разобраться в теме, а то что-то никак...
Имеем новый wAP ac LTE6 kit, на последней прошивке 6.47.8, внутри модем LTE6 c последней прошивкой 026.
Ядро сети на CRS125-24G-1S. (6.47.8)

Итак, проблема:
1) Вставляем мегафон симку в wAP, на крыше частного дома ловит сеть отлично -62dbm. присоединяем патчкорд от wAP к компу - меряем спидтест - 50/40, пинг 35.
2) А теперь пытаемся дать интернет с wAP на центральный роутер - и в итоге тот же комп дает печальные результаты 10/10, пинг 55. плюс минус показатели такие.

причем, если завести wAP в сеть с помощью установки на него адреса общей локалки и на компе прописать в качестве шлюза - скорость возвращается.

Последняя схема такова:
wAP сброшен на ноль. поднят vlan для управления из основной сети, повешен на него dhcp с основного роутера. на lte-интерфейсе прописан passthrout. Основной роутер получает настройки провайдера мегафона - и максимум, чего удалось добиться: 22/35 пинг 45. такое ощущение, что где садится скорость....
Мангл отключен, фаервол тоже, адрес провайдера серый.
Что еще может влиять на падение скорости??

Пробовали также делать на wAP другую подсеть и давать ее на основной, поднимали pppoe-сервер - еще все хуже оказалось...

В общем имеем новейший lte6 (аггрегируем две частоты), но крутых показателей не имеем. Конечно ясно что в городе показатели врятли превысят 50. Но хочется именно 50, а не 10.

[Skylear]

Дополняю тему.
Основной микротик содержит в себе сложную конфу, так что сбрасывать его не очень хочется...
Итак найдена дырка, куда утекает трафик - это фаервол основного микротика.
Решается просто: где то внизу Firewall-Filter ставим правило fasttrack - и уаля! скорость проброшенного LTE возрастает.
Но вот нюанс, который все портит:
LTE - нужен для интернета. Но имеется в основном микротике еще канал интернета (с белым IP), конкретно для нескольких хостов. Один из хостов - сервер, который используется как транзитный для подключения к разным ресурсам (так как имеет выход в интернет через другого провайдера). И вот при включении fasttrack - коннекты с сервера к другим ресурсам либо пропадают, либо висят. Кто знает как попарвить ситуевину?
Вот в таком виде:

Код: Выделить всё

/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
    established,related protocol=tcp
add action=fasttrack-connection chain=forward connection-state=\
    established,related protocol=udp
add action=accept chain=forward comment=FORWARD_Estabilished \
    connection-state=established
add action=accept chain=forward comment=FORWARD_Related connection-state=\
    related

LTE работает прекрасно, но моросит работа через второй провайдер. Убираем fasttrack - падает скорость, но зато все в порядке со вторым провайдером.

[KaNelam]

CRS125-24G-1S это свитч на RoS, не стоит его заставлять натить, его задача коммутация. FTR сделайте только для опсоса.

[Skylear]

CRS125-24G-1S - это единое устройство как коммутатор и маршрутизатор. Так написано в его описании

Идеальный SOHO шлюз, маршрутизатор, коммутатор, все в одном устройстве:
• Ethernet, Fiber, или 4G (с дополнительным модемом USB)
• Подключение шлюза к Интернет
• RouterOS шлюз/межсетевой экран/VPN маршрутизатор
• До 25 гигабитных портов коммутатора (1xSFP и 24xRJ45)

Да и процессор у него как в RB951UI-2HND, и памяти столько же. Это же устройство не на SwitchOS....
Так что на счет того что вывезет или нет - это не по теме...

Лучше подскажите как и fasttrack оставить для LTE, а второй провайдера работал не через fasttrack

[KaNelam]

Укажите интерфейсы в правилах FTR, в вашем случае lte.
Показывайте конфиг, боюсь там собака порылась.

[Skylear]

пробовал указывать разные интерфейсы в FTR как input так и output - результата не дало...

вот конфиг:

Код: Выделить всё

/ip firewall filter
add action=drop chain=input comment="Drop invalid connections" \
    connection-state=invalid
add action=drop chain=output comment="Drop invalid connections" \
    connection-state=invalid
add action=drop chain=forward comment="Drop invalid connections" \
    connection-state=invalid
add action=drop chain=input comment="Drop external DNS connections" dst-port=\
    53 in-interface-list=WAN protocol=udp
add action=drop chain=input comment="Drop external DNS connections" dst-port=\
    53 in-interface-list=WAN protocol=tcp
add action=drop chain=input comment="Drop external NTP connections" dst-port=\
    123 in-interface-list=WAN protocol=udp src-address-list=!NTPServers
add action=accept chain=input comment=TIME-SERVER protocol=udp src-port=123
add action=accept chain=input comment=Accept_SSTP dst-port=443 protocol=tcp
add action=accept chain=input comment=FORWARD_Accept_Asterisk dst-port=57067 \
    protocol=udp
add action=accept chain=forward comment=FORWARD_Accept_Asterisk dst-port=\
    57067 protocol=udp
add action=accept chain=input comment=FORWARD_Accept_Asterisk dst-port=\
    10000-20000 protocol=udp
add action=accept chain=forward comment=FORWARD_Accept_Asterisk dst-port=\
    10000-20000 protocol=udp
add action=reject chain=input comment=DROP_DNS dst-port=53 in-interface-list=\
    !WAN protocol=udp reject-with=icmp-port-unreachable
add action=reject chain=input dst-port=53 in-interface-list=!WAN protocol=tcp \
    reject-with=icmp-port-unreachable
add action=drop chain=input comment=\
    "\C7\E0\EF\F0\E5\F2 PING'\E0 \E8\E7\E2\ED\E5" icmp-options=8:0 \
    in-interface=pppoe-ADSL protocol=icmp
add action=drop chain=input comment=\
    "\C7\E0\EF\F0\E5\F2 PING'\E0 \E8\E7\E2\ED\E5" dst-address=192.168.0.1 \
    icmp-options=8:0 in-interface=!ether18-WAN protocol=icmp src-address=\
    172.17.17.0/24
add action=jump chain=forward comment=RDP_brutforce connection-state=new \
    dst-port=3389,55777 jump-target=check-bruteforce protocol=tcp
add action=jump chain=forward connection-state=new dst-port=3389,55777 \
    jump-target=check-bruteforce protocol=udp
add action=drop chain=forward comment=Drop-Bruteforcers connection-state=new \
    src-address-list=rdp_bruteforces
add action=add-src-to-address-list address-list=rdp_bruteforces \
    address-list-timeout=5d chain=check-bruteforce src-address-list=\
    bruteforce-stage-5
add action=add-src-to-address-list address-list=rdp_bruteforce-stage-5 \
    address-list-timeout=1m chain=check-bruteforce src-address-list=\
    rdp_bruteforce-stage-4
add action=add-src-to-address-list address-list=rdp_bruteforce-stage-4 \
    address-list-timeout=1m chain=check-bruteforce src-address-list=\
    rdp_bruteforce-stage-3
add action=add-src-to-address-list address-list=rdp_bruteforce-stage-3 \
    address-list-timeout=1m chain=check-bruteforce src-address-list=\
    rdp_bruteforce-stage-2
add action=add-src-to-address-list address-list=rdp_bruteforce-stage-2 \
    address-list-timeout=1m chain=check-bruteforce src-address-list=\
    rdp_bruteforce-stage-1
add action=add-src-to-address-list address-list=rdp_bruteforce-stage-1 \
    address-list-timeout=1m chain=check-bruteforce
add action=accept chain=forward comment=FORWARD_Accept_RDP dst-port=3389 \
    protocol=tcp
add action=accept chain=forward comment=FORWARD_Accept_FTP dst-port=20,21 \
    protocol=tcp
add action=accept chain=input comment=Established_Wan_Accept \
    connection-state=established
add action=accept chain=input comment=Related_Wan_Accept connection-state=\
    related
add action=fasttrack-connection chain=forward connection-state=\
    established,related protocol=tcp
add action=fasttrack-connection chain=forward connection-state=\
    established,related protocol=udp
add action=accept chain=forward comment=FORWARD_Estabilished \
    connection-state=established
add action=accept chain=forward comment=FORWARD_Related connection-state=\
    related
add action=accept chain=forward comment=FORWARD_Accept_PPPOE-server \
    src-address=172.17.17.0/24
add action=accept chain=forward comment=FORWARD_Accept_LAN src-address=\
    192.168.0.0/24
add action=accept chain=forward comment=FORWARD_Accept_LAN src-address=\
    10.2.60.0/23
add action=drop chain=input comment=Drop_all_WAN in-interface=pppoe-ADSL
add action=drop chain=forward comment=\
    "\D6\E5\EF\EE\F7\EA\E0 FORWARD Drop_invalid" connection-state=invalid
add action=drop chain=forward comment=FORWARD_drop_ALL

[Skylear]

В общем путем экспериментов удалось решить половину проблемы. Отредактировав правило fasttrack таким образом:

Код: Выделить всё

add action=fasttrack-connection chain=forward connection-state=\
    established,related dst-address-list=!ADSL-hosts protocol=tcp \
    src-address-list=!ADSL-hosts
add action=fasttrack-connection chain=forward connection-state=\
    established,related dst-address-list=!ADSL-hosts protocol=udp \
    src-address-list=!ADSL-hosts

и поместив в address-list нужные хосты, пометив их в mangle - имеем и действуюший fasttrack и корректное подключение к нужным адресам с транзитного сервера.
Но встал следующий этап проблемы:
Рядом с транзитным сервером есть Asterisk, там вот на него с глобала не удается подключиться с включеными правилами FTR - стоит отключить - все ок. причем даже если включить FTR обратно соединение не рвется. Вся проблема именно в первом коннекте, а скорее всего из-за того что Asterisk требует для коннекта не только проброшенные порты но и создает динамические...
в общем не удалось пока создать правила, чтобы исключить еще и Asterisk