Всем привет. Помогите разобраться в теме, а то что-то никак...
Имеем новый wAP ac LTE6 kit, на последней прошивке 6.47.8, внутри модем LTE6 c последней прошивкой 026.
Ядро сети на CRS125-24G-1S. (6.47.8)
Итак, проблема:
1) Вставляем мегафон симку в wAP, на крыше частного дома ловит сеть отлично -62dbm. присоединяем патчкорд от wAP к компу - меряем спидтест - 50/40, пинг 35.
2) А теперь пытаемся дать интернет с wAP на центральный роутер - и в итоге тот же комп дает печальные результаты 10/10, пинг 55. плюс минус показатели такие.
причем, если завести wAP в сеть с помощью установки на него адреса общей локалки и на компе прописать в качестве шлюза - скорость возвращается.
Последняя схема такова:
wAP сброшен на ноль. поднят vlan для управления из основной сети, повешен на него dhcp с основного роутера. на lte-интерфейсе прописан passthrout. Основной роутер получает настройки провайдера мегафона - и максимум, чего удалось добиться: 22/35 пинг 45. такое ощущение, что где садится скорость....
Мангл отключен, фаервол тоже, адрес провайдера серый.
Что еще может влиять на падение скорости??
Пробовали также делать на wAP другую подсеть и давать ее на основной, поднимали pppoe-сервер - еще все хуже оказалось...
В общем имеем новейший lte6 (аггрегируем две частоты), но крутых показателей не имеем. Конечно ясно что в городе показатели врятли превысят 50. Но хочется именно 50, а не 10.
wAP LTE6 - где скорость?
-
- Сообщения: 118
- Зарегистрирован: 06 авг 2017, 17:50
Дополняю тему.
Основной микротик содержит в себе сложную конфу, так что сбрасывать его не очень хочется...
Итак найдена дырка, куда утекает трафик - это фаервол основного микротика.
Решается просто: где то внизу Firewall-Filter ставим правило fasttrack - и уаля! скорость проброшенного LTE возрастает.
Но вот нюанс, который все портит:
LTE - нужен для интернета. Но имеется в основном микротике еще канал интернета (с белым IP), конкретно для нескольких хостов. Один из хостов - сервер, который используется как транзитный для подключения к разным ресурсам (так как имеет выход в интернет через другого провайдера). И вот при включении fasttrack - коннекты с сервера к другим ресурсам либо пропадают, либо висят. Кто знает как попарвить ситуевину?
Вот в таком виде:
LTE работает прекрасно, но моросит работа через второй провайдер. Убираем fasttrack - падает скорость, но зато все в порядке со вторым провайдером.
Основной микротик содержит в себе сложную конфу, так что сбрасывать его не очень хочется...
Итак найдена дырка, куда утекает трафик - это фаервол основного микротика.
Решается просто: где то внизу Firewall-Filter ставим правило fasttrack - и уаля! скорость проброшенного LTE возрастает.
Но вот нюанс, который все портит:
LTE - нужен для интернета. Но имеется в основном микротике еще канал интернета (с белым IP), конкретно для нескольких хостов. Один из хостов - сервер, который используется как транзитный для подключения к разным ресурсам (так как имеет выход в интернет через другого провайдера). И вот при включении fasttrack - коннекты с сервера к другим ресурсам либо пропадают, либо висят. Кто знает как попарвить ситуевину?
Вот в таком виде:
Код: Выделить всё
/ip firewall filter
add action=fasttrack-connection chain=forward connection-state=\
established,related protocol=tcp
add action=fasttrack-connection chain=forward connection-state=\
established,related protocol=udp
add action=accept chain=forward comment=FORWARD_Estabilished \
connection-state=established
add action=accept chain=forward comment=FORWARD_Related connection-state=\
related
-
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
CRS125-24G-1S это свитч на RoS, не стоит его заставлять натить, его задача коммутация. FTR сделайте только для опсоса.
-
- Сообщения: 118
- Зарегистрирован: 06 авг 2017, 17:50
CRS125-24G-1S - это единое устройство как коммутатор и маршрутизатор. Так написано в его описании
Так что на счет того что вывезет или нет - это не по теме...
Лучше подскажите как и fasttrack оставить для LTE, а второй провайдера работал не через fasttrack
Да и процессор у него как в RB951UI-2HND, и памяти столько же. Это же устройство не на SwitchOS....Идеальный SOHO шлюз, маршрутизатор, коммутатор, все в одном устройстве:
• Ethernet, Fiber, или 4G (с дополнительным модемом USB)
• Подключение шлюза к Интернет
• RouterOS шлюз/межсетевой экран/VPN маршрутизатор
• До 25 гигабитных портов коммутатора (1xSFP и 24xRJ45)
Так что на счет того что вывезет или нет - это не по теме...
Лучше подскажите как и fasttrack оставить для LTE, а второй провайдера работал не через fasttrack
-
- Сообщения: 620
- Зарегистрирован: 11 июл 2017, 13:03
Укажите интерфейсы в правилах FTR, в вашем случае lte.
Показывайте конфиг, боюсь там собака порылась.
Показывайте конфиг, боюсь там собака порылась.
-
- Сообщения: 118
- Зарегистрирован: 06 авг 2017, 17:50
пробовал указывать разные интерфейсы в FTR как input так и output - результата не дало...
вот конфиг:
вот конфиг:
Код: Выделить всё
/ip firewall filter
add action=drop chain=input comment="Drop invalid connections" \
connection-state=invalid
add action=drop chain=output comment="Drop invalid connections" \
connection-state=invalid
add action=drop chain=forward comment="Drop invalid connections" \
connection-state=invalid
add action=drop chain=input comment="Drop external DNS connections" dst-port=\
53 in-interface-list=WAN protocol=udp
add action=drop chain=input comment="Drop external DNS connections" dst-port=\
53 in-interface-list=WAN protocol=tcp
add action=drop chain=input comment="Drop external NTP connections" dst-port=\
123 in-interface-list=WAN protocol=udp src-address-list=!NTPServers
add action=accept chain=input comment=TIME-SERVER protocol=udp src-port=123
add action=accept chain=input comment=Accept_SSTP dst-port=443 protocol=tcp
add action=accept chain=input comment=FORWARD_Accept_Asterisk dst-port=57067 \
protocol=udp
add action=accept chain=forward comment=FORWARD_Accept_Asterisk dst-port=\
57067 protocol=udp
add action=accept chain=input comment=FORWARD_Accept_Asterisk dst-port=\
10000-20000 protocol=udp
add action=accept chain=forward comment=FORWARD_Accept_Asterisk dst-port=\
10000-20000 protocol=udp
add action=reject chain=input comment=DROP_DNS dst-port=53 in-interface-list=\
!WAN protocol=udp reject-with=icmp-port-unreachable
add action=reject chain=input dst-port=53 in-interface-list=!WAN protocol=tcp \
reject-with=icmp-port-unreachable
add action=drop chain=input comment=\
"\C7\E0\EF\F0\E5\F2 PING'\E0 \E8\E7\E2\ED\E5" icmp-options=8:0 \
in-interface=pppoe-ADSL protocol=icmp
add action=drop chain=input comment=\
"\C7\E0\EF\F0\E5\F2 PING'\E0 \E8\E7\E2\ED\E5" dst-address=192.168.0.1 \
icmp-options=8:0 in-interface=!ether18-WAN protocol=icmp src-address=\
172.17.17.0/24
add action=jump chain=forward comment=RDP_brutforce connection-state=new \
dst-port=3389,55777 jump-target=check-bruteforce protocol=tcp
add action=jump chain=forward connection-state=new dst-port=3389,55777 \
jump-target=check-bruteforce protocol=udp
add action=drop chain=forward comment=Drop-Bruteforcers connection-state=new \
src-address-list=rdp_bruteforces
add action=add-src-to-address-list address-list=rdp_bruteforces \
address-list-timeout=5d chain=check-bruteforce src-address-list=\
bruteforce-stage-5
add action=add-src-to-address-list address-list=rdp_bruteforce-stage-5 \
address-list-timeout=1m chain=check-bruteforce src-address-list=\
rdp_bruteforce-stage-4
add action=add-src-to-address-list address-list=rdp_bruteforce-stage-4 \
address-list-timeout=1m chain=check-bruteforce src-address-list=\
rdp_bruteforce-stage-3
add action=add-src-to-address-list address-list=rdp_bruteforce-stage-3 \
address-list-timeout=1m chain=check-bruteforce src-address-list=\
rdp_bruteforce-stage-2
add action=add-src-to-address-list address-list=rdp_bruteforce-stage-2 \
address-list-timeout=1m chain=check-bruteforce src-address-list=\
rdp_bruteforce-stage-1
add action=add-src-to-address-list address-list=rdp_bruteforce-stage-1 \
address-list-timeout=1m chain=check-bruteforce
add action=accept chain=forward comment=FORWARD_Accept_RDP dst-port=3389 \
protocol=tcp
add action=accept chain=forward comment=FORWARD_Accept_FTP dst-port=20,21 \
protocol=tcp
add action=accept chain=input comment=Established_Wan_Accept \
connection-state=established
add action=accept chain=input comment=Related_Wan_Accept connection-state=\
related
add action=fasttrack-connection chain=forward connection-state=\
established,related protocol=tcp
add action=fasttrack-connection chain=forward connection-state=\
established,related protocol=udp
add action=accept chain=forward comment=FORWARD_Estabilished \
connection-state=established
add action=accept chain=forward comment=FORWARD_Related connection-state=\
related
add action=accept chain=forward comment=FORWARD_Accept_PPPOE-server \
src-address=172.17.17.0/24
add action=accept chain=forward comment=FORWARD_Accept_LAN src-address=\
192.168.0.0/24
add action=accept chain=forward comment=FORWARD_Accept_LAN src-address=\
10.2.60.0/23
add action=drop chain=input comment=Drop_all_WAN in-interface=pppoe-ADSL
add action=drop chain=forward comment=\
"\D6\E5\EF\EE\F7\EA\E0 FORWARD Drop_invalid" connection-state=invalid
add action=drop chain=forward comment=FORWARD_drop_ALL
-
- Сообщения: 118
- Зарегистрирован: 06 авг 2017, 17:50
В общем путем экспериментов удалось решить половину проблемы. Отредактировав правило fasttrack таким образом:
и поместив в address-list нужные хосты, пометив их в mangle - имеем и действуюший fasttrack и корректное подключение к нужным адресам с транзитного сервера.
Но встал следующий этап проблемы:
Рядом с транзитным сервером есть Asterisk, там вот на него с глобала не удается подключиться с включеными правилами FTR - стоит отключить - все ок. причем даже если включить FTR обратно соединение не рвется. Вся проблема именно в первом коннекте, а скорее всего из-за того что Asterisk требует для коннекта не только проброшенные порты но и создает динамические...
в общем не удалось пока создать правила, чтобы исключить еще и Asterisk
Код: Выделить всё
add action=fasttrack-connection chain=forward connection-state=\
established,related dst-address-list=!ADSL-hosts protocol=tcp \
src-address-list=!ADSL-hosts
add action=fasttrack-connection chain=forward connection-state=\
established,related dst-address-list=!ADSL-hosts protocol=udp \
src-address-list=!ADSL-hosts
Но встал следующий этап проблемы:
Рядом с транзитным сервером есть Asterisk, там вот на него с глобала не удается подключиться с включеными правилами FTR - стоит отключить - все ок. причем даже если включить FTR обратно соединение не рвется. Вся проблема именно в первом коннекте, а скорее всего из-за того что Asterisk требует для коннекта не только проброшенные порты но и создает динамические...
в общем не удалось пока создать правила, чтобы исключить еще и Asterisk