Очень низкая скорость с SMB через VPN

[MKC]

Есть 2 сети домашняя и дачная, обе сделаны на микротах. Между ними поднят стабильный VPN канал 40 Мбит. В домашней сети находится SMB поднятая на XigmaNas. Внутри локальной сети скорость от и до SMB - 1Гбит, а из дачной сети через VPN скорость до/от SMB около 0,5-1 Мбит.
Пробовал разный VPN: PPTP, L2TP, WireGuard - скорость SMB не увеличилась. Отключал/включал правила Firewall - результата не дало. Перенастраивал домашний микрот вручную - не помогло.
Проблема кроется как я понимаю в домашнем микроте (сети), т.к. подключался к SMB с мобильного телефона (4G мегафон, VPN) - результат копирования 0,5-1Мбит
Brandwidth test показывает между микротами стабильную скорость около 40Мбит.
В дачной сети стоит видеорегистратор, при просмотре камер скорость стабильно держится на 30Мбит.(больше нагрузить нечем)
Естественно SMB и регистратор используются не одновременно.
Домашний микрот 192.168.1.1
Дачный микрот 192.168.2.1
SMB - 192.168.1.5
Подскажите пжл в чем может быть проблема?

[KaNelam]

Есть 2 сети домашняя и дачная, обе сделаны на микротах. Между ними поднят стабильный VPN канал 40 Мбит. В домашней сети находится SMB поднятая на XigmaNas. Внутри локальной сети скорость от и до SMB - 1Гбит, а из дачной сети через VPN скорость до/от SMB около 0,5-1 Мбит.
Пробовал разный VPN: PPTP, L2TP, WireGuard - скорость SMB не увеличилась. Отключал/включал правила Firewall - результата не дало. Перенастраивал домашний микрот вручную - не помогло.
Проблема кроется как я понимаю в домашнем микроте (сети), т.к. подключался к SMB с мобильного телефона (4G мегафон, VPN) - результат копирования 0,5-1Мбит
Brandwidth test показывает между микротами стабильную скорость около 40Мбит.
В дачной сети стоит видеорегистратор, при просмотре камер скорость стабильно держится на 30Мбит.(больше нагрузить нечем)
Естественно SMB и регистратор используются не одновременно.
Домашний микрот 192.168.1.1
Дачный микрот 192.168.2.1
SMB - 192.168.1.5
Подскажите пжл в чем может быть проблема?

mtu пробовали менять?
да и конфиги посмотреть не мешало бы
какие тики?

[MKC]

mtu пробовали менять?

Да, конечно, но это не помогло.

какие тики?

Домашний - RBD53iG-5HacD2HnD
Дачный - RB951Ui-2nD
Вряд ли железо виновато, т.к. Brandwidth test и просмотр камер через с регистратора VPN дают полноценный нормальный трафик 30-40Мбит

да и конфиги посмотреть не мешало бы

Домашний микрот

 

# model = RBD53iG-5HacD2HnD

/interface bridge
add arp=proxy-arp name=bridge1
add arp=reply-only name=bridge_GuestWiFi
/interface ethernet
set [ find default-name=ether2 ] name=Lan_2
set [ find default-name=ether3 ] name=Lan_3
set [ find default-name=ether4 ] name=Lan_4
set [ find default-name=ether5 ] name=Lan_5
set [ find default-name=ether1 ] name=Wan_1
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n country=russia3 disabled=no \
frequency=auto installation=indoor mode=ap-bridge name=WiFi_2,5G ssid=\
XXXX1 wireless-protocol=802.11 wps-mode=disabled
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=\
20/40/80mhz-Ceee country=russia3 disabled=no frequency=auto installation=\
indoor mode=ap-bridge name=WiFi_5G ssid=XXXX2 wireless-protocol=802.11 \
wps-mode=disabled
/interface wireguard
add listen-port=13231 mtu=1420 name=wireguard1
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk comment=\
"\CF\F0\EE\F4\E8\EB\FC \EF\EE \F3\EC\EE\EB\F7\E0\ED\E8\FE" eap-methods="" \
group-key-update=30m mode=dynamic-keys supplicant-identity=MikroTik
add authentication-types=wpa2-psk comment=\
"\CF\F0\EE\F4\E8\EB\FC \E3\EE\F1\F2\E5\E2\EE\E3\EE WiFi" eap-methods="" \
group-key-update=2h management-protection=allowed mode=dynamic-keys name=\
Guest_WiFi supplicant-identity=""
/interface wireless
add default-forwarding=no disabled=no keepalive-frames=disabled mac-address=\
0A:55:31:EA:6C:B9 master-interface=WiFi_2,5G multicast-buffering=disabled \
name="XXXX3" security-profile=Guest_WiFi ssid="XXXX3" \
wds-cost-range=0 wds-default-cost=0 wmm-support=enabled wps-mode=disabled
/ip pool
add name=pool1 ranges=192.168.1.100-192.168.1.254
add name=pool_GuestWi-Fi ranges=10.10.10.2-10.10.10.254
add name=vpn_pool ranges=192.168.2.1-192.168.2.254
/ip dhcp-server
add address-pool=pool1 interface=bridge1 lease-time=2h name=dhcp_Server1
add add-arp=yes address-pool=pool_GuestWi-Fi interface=bridge_GuestWiFi \
lease-time=2h name=dhcp_Guest
/ppp profile
add change-tcp-mss=yes local-address=vpn_pool name=pptp remote-address=\
vpn_pool use-encryption=yes
/routing bgp template
set default disabled=no output.network=bgp-networks
/interface bridge port
add bridge=bridge1 ingress-filtering=no interface=Lan_2
add bridge=bridge1 ingress-filtering=no interface=Lan_3
add bridge=bridge1 ingress-filtering=no interface=Lan_4
add bridge=bridge1 ingress-filtering=no interface=Lan_5
add bridge=bridge1 ingress-filtering=no interface=WiFi_2,5G
add bridge=bridge1 ingress-filtering=no interface=WiFi_5G
add bridge=bridge_GuestWiFi ingress-filtering=no interface="XXXXX4"
/ip firewall connection tracking
set tcp-established-timeout=2m
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface ovpn-server server
set auth=sha1,md5
/interface pptp-server server
# PPTP connections are considered unsafe, it is suggested to use a more modern VPN protocol instead
set authentication=mschap2 default-profile=pptp enabled=yes
/interface wireguard peers
add allowed-address=192.168.1.99/32 interface=wireguard1 public-key=\
"XXXXXXXXXXXXXXXXXXXXXXX"
/ip address
add address=192.168.1.1/24 interface=bridge1 network=192.168.1.0
add address=10.10.10.1/24 interface=bridge_GuestWiFi network=10.10.10.0
/ip cloud
set ddns-enabled=yes ddns-update-interval=5m update-time=no
/ip dhcp-client
add interface=Wan_1 use-peer-dns=no use-peer-ntp=no
/ip dhcp-server network
add address=10.10.10.0/24 dns-server=10.10.10.1 gateway=10.10.10.1
add address=192.168.1.0/24 dns-server=192.168.1.1 gateway=192.168.1.1 \
netmask=24 ntp-server=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=1.1.1.1,1.0.0.1
/ip firewall filter
add action=accept chain=input comment=WG dst-port=13231 in-interface=Wan_1 \
protocol=udp
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \E4\EB\
\FF \F3\E6\E5 \F3\F1\F2\E0\ED\EE\E2\EB\E5\ED\ED\FB\F5 \F1\EE\E5\E4\E8\ED\
\E5\ED\E8\E9" connection-state=established,related,untracked
add action=drop chain=input comment="\D3\E4\E0\EB\E8\F2\FC \E2\F1\E5 \EF\E0\EA\
\E5\F2\FB \E2 \F1\EE\F1\F2\EE\FF\ED\E8\E8 invalid" connection-state=\
invalid
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \EF\EE\
\E4\EA\EB\FE\F7\E5\ED\E8\FF \EA VPN \F1\E5\F0\E2\E5\F0\F3" \
connection-state=new dst-port=1723 in-interface=Wan_1 protocol=tcp
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \EF\EE\
\E4\EA\EB\FE\F7\E5\ED\E8\FF \EA VPN \F1\E5\F0\E2\E5\F0\F3" \
connection-state=new protocol=gre
add action=drop chain=input comment="\CD\C5 \D0\E0\E7\F0\E5\F8\E8\F2\FC ICMP \
\E7\E0\EF\F0\EE\F1\FB \F1 WAN \E8\ED\F2\E5\F0\F4\E5\E9\F1\EE\E2" \
in-interface=Wan_1 protocol=icmp
add action=accept chain=input comment="\F0\E0\E7\F0\E5\F8\E8\EC DNS-\E7\E0\EF\
\F0\EE\F1\FB \F1\EE \E2\F1\E5\F5 \E8\ED\F2\E5\F0\F4\E5\E9\F1\EE\E2, \EA\F0\
\EE\EC\E5 WAN" dst-port=53 in-interface=!Wan_1 protocol=udp
add action=drop chain=input comment="\D3\E4\E0\EB\E8\F2\FC \E2\F1\E5 \E2\F5\EE\
\E4\FF\F9\E8\E5 \EF\E0\EA\E5\F2\FB \F1 WAN \E8\ED\F2\E5\F0\F4\E5\E9\F1\EE\
\E2" in-interface=Wan_1
add action=accept chain=input comment="\C4\EE\E2\E5\F0\E8\F2\E5\EB\FC\ED\FB\E5\
\_\EF\F0\E0\E2\E8\EB\E0 \E4\EB\FF \EB\EE\EA\E0\EB\FC\ED\EE\E9 \F1\E5\F2\E8\
" in-interface=bridge1
add action=jump chain=input comment="\C7\E0\F9\E8\F2\E0 \EE\F2 DDoS-\E0\F2\E0\
\EA\E8 \F1 \EF\EE\EC\EE\F9\FC\FE Destination Limit\
\n" connection-state=new in-interface=Wan_1 jump-target=detect_DDoS
add action=return chain=detect_DDoS comment="\C7\E0\F9\E8\F2\E0 \EE\F2 DDoS-\
\E0\F2\E0\EA\E8 \F1 \EF\EE\EC\EE\F9\FC\FE Destination Limit\
\n" dst-limit=25,25,src-address/1s
add action=add-src-to-address-list address-list=DDoS_black_list \
address-list-timeout=28w4d chain=detect_DDoS
add action=drop chain=detect_DDoS
add action=jump chain=input comment=\
"\C7\E0\F9\E8\F2\E0 \EE\F2 \E1\F0\F3\F2\F4\EE\F0\F1\E0" connection-state=\
new dst-port=8291 in-interface=Wan_1 jump-target=anti-BruteForce \
protocol=tcp
add action=return chain=anti-BruteForce dst-limit=5/1m,1,src-address/1m40s
add action=add-src-to-address-list address-list=BAN-BruteForce \
address-list-timeout=28w4d chain=anti-BruteForce
add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \E4\EB\
\FF \F3\E6\E5 \F3\F1\F2\E0\ED\EE\E2\EB\E5\ED\ED\FB\F5 \F1\EE\E5\E4\E8\ED\
\E5\ED\E8\E9" connection-state=established,related,untracked
add action=drop chain=forward comment="\D3\E4\E0\EB\E8\F2\FC \E2\F1\E5 \EF\E0\
\EA\E5\F2\FB \E2 \F1\EE\F1\F2\EE\FF\ED\E8\E8 invalid" connection-state=\
invalid
add action=drop chain=forward comment="\C1\EB\EE\EA\E8\F0\EE\E2\EA\E0 \E7\E0\
\EF\F0\EE\F1\EE\E2 \E8\E7 \E3\EE\F1\F2\E5\E2\EE\E9 WiFi \E2 \EB\EE\EA\E0\
\EB\FC\ED\F3\FE \F1\E5\F2\FC" dst-address=192.168.1.0/24 src-address=\
10.10.10.0/24
add action=drop chain=forward comment="\C1\EB\EE\EA\E8\F0\EE\E2\EA\E0 \E7\E0\
\EF\F0\EE\F1\EE\E2 \E8\E7 \EB\EE\EA\E0\EB\FC\ED\EE\E9 \F1\E5\F2\E8 \E2 \
\E3\EE\F1\F2\E5\E2\F3\FE WiFi" dst-address=10.10.10.0/24 src-address=\
192.168.1.0/24
add action=accept chain=forward comment="\C4\EE\E2\E5\F0\E8\F2\E5\EB\FC\ED\FB\
\E5 \EF\F0\E0\E2\E8\EB\E0 \E4\EB\FF \EB\EE\EA\E0\EB\FC\ED\EE\E9 \F1\E5\F2\
\E8" in-interface=bridge1
/ip firewall nat
add action=masquerade chain=srcnat out-interface=Wan_1
/ip firewall raw
add action=drop chain=prerouting comment=\
"\C7\E0\F9\E8\F2\E0 \EE\F2 \E1\F0\F3\F2\F4\EE\F0\F1\E0" dst-port=8291 \
in-interface=Wan_1 protocol=tcp src-address-list=BAN-BruteForce
/ip route
add disabled=no distance=1 dst-address=192.168.1.99/32 gateway=wireguard1 \
pref-src="" routing-table=main scope=30 suppress-hw-offload=no \
target-scope=10
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ipv6 firewall filter
add action=drop chain=forward
/ppp secret
add local-address=192.168.1.1 name=XXXX profile=pptp remote-address=\
192.168.2.1 routes=192.168.2.0/24 service=pptp
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=Asus
/system leds settings
set all-leds-off=after-1h
/system ntp client
set enabled=yes
/system ntp server
set enabled=yes manycast=yes multicast=yes
/system ntp client servers
add address=88.147.254.232
add address=91.207.136.50
/system routerboard settings
set auto-upgrade=yes
/tool bandwidth-server
set authenticate=no

Дачный микрот

 

# model = RB951Ui-2nD

/interface pptp-client
add allow=mschap2 connect-to=XXXXXXXXXXXXX disabled=no name=\
pptp-XX user=XXXXXXX
/interface bridge
add arp=proxy-arp name=bridge
/interface wireless
set [ find default-name=wlan1 ] country=russia3 frequency=auto installation=\
indoor mode=ap-bridge ssid=XXXXXXXXX wireless-protocol=802.11 wps-mode=\
disabled
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" \
group-key-update=1d mode=dynamic-keys supplicant-identity=MikroTik
/ip pool
add name=pool1 ranges=192.168.2.100-192.168.2.254
/ip dhcp-server
add address-pool=pool1 interface=bridge lease-time=12h name=server1
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add disabled=no name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/interface bridge port
add bridge=bridge ingress-filtering=no interface=ether1
add bridge=bridge ingress-filtering=no interface=ether2
add bridge=bridge ingress-filtering=no interface=ether3
add bridge=bridge ingress-filtering=no interface=ether4
add bridge=bridge ingress-filtering=no interface=wlan1
/ip firewall connection tracking
set tcp-established-timeout=1h
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=192.168.2.1/24 interface=ether1 network=192.168.2.0
/ip dhcp-server network
add address=192.168.2.0/24 dns-server=192.168.2.1 gateway=192.168.2.1 \
netmask=24 ntp-server=192.168.2.1
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d
/ip firewall filter
add action=accept chain=input comment="\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \E4\EB\
\FF \F3\E6\E5 \F3\F1\F2\E0\ED\EE\E2\EB\E5\ED\ED\FB\F5 \F1\EE\E5\E4\E8\ED\
\E5\ED\E8\E9" connection-state=established,related
add action=accept chain=input comment="\C4\EE\E2\E5\F0\E8\F2\E5\EB\FC\ED\FB\E5\
\_\EF\F0\E0\E2\E8\EB\E0 \E4\EB\FF \EB\EE\EA\E0\EB\FC\ED\EE\E9 \F1\E5\F2\E8\
" in-interface=bridge
add action=drop chain=input comment="\D3\E4\E0\EB\E8\F2\FC \E2\F1\E5 \EF\E0\EA\
\E5\F2\FB \E2 \F1\EE\F1\F2\EE\FF\ED\E8\E8 invalid" connection-state=\
invalid
add action=drop chain=input comment="\D3\E4\E0\EB\E8\F2\FC \E2\F1\E5 \E2\F5\EE\
\E4\FF\F9\E8\E5 \EF\E0\EA\E5\F2\FB \F1 WAN \E8\ED\F2\E5\F0\F4\E5\E9\F1\EE\
\E2" in-interface=lte1
add action=accept chain=forward comment="\D0\E0\E7\F0\E5\F8\E5\ED\E8\E5 \E4\EB\
\FF \F3\E6\E5 \F3\F1\F2\E0\ED\EE\E2\EB\E5\ED\ED\FB\F5 \F1\EE\E5\E4\E8\ED\
\E5\ED\E8\E9" connection-state=established,related
add action=accept chain=forward comment="\C4\EE\E2\E5\F0\E8\F2\E5\EB\FC\ED\FB\
\E5 \EF\F0\E0\E2\E8\EB\E0 \E4\EB\FF \EB\EE\EA\E0\EB\FC\ED\EE\E9 \F1\E5\F2\
\E8" in-interface=bridge
add action=drop chain=forward comment="\D3\E4\E0\EB\E8\F2\FC \E2\F1\E5 \EF\E0\
\EA\E5\F2\FB \E2 \F1\EE\F1\F2\EE\FF\ED\E8\E8 invalid" connection-state=\
invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface=lte1
/ip route
add disabled=no dst-address=192.168.1.0/24 gateway=pptp-XXX
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=Asus
/system ntp client
set enabled=yes
/system ntp server
set enabled=yes manycast=yes
/system ntp client servers
add address=193.171.23.163
add address=85.114.26.194
/tool bandwidth-server
set authenticate=no
/tool netwatch
add comment="\CF\E5\F0\E5\E7\E0\E3\F0\F3\E7\EA\E0 USB \EC\EE\E4\E5\EC\E0 \EF\
\EE \EF\E8\F2\E0\ED\E8\FE \EF\F0\E8 \E7\E0\E2\E8\F1\E0\ED\E8\E8" \
disabled=no down-script=\
"/system routerboard usb power-reset duration=30s" host=8.8.8.8 interval=\
5m timeout=1s type=simple

[Inner]

Камеры не показатель. Камеры вещают потоком, то есть udp. Такой трафик априори быстрее. SMB работает на tcp, то есть затраты гораздо больше. 4G ещё сильнее понижает этот показатель скорости, так как эта сеть так иои иначе, а всё же радио канал. Если применяете ipsec, то жто ещё один фактор снижения скорости (конфиги в посте выше не нашел, но всё равно счел нужным упомянуть).

В идеале, чтобы протестировать и точно понять в чем проблема, Вам нужно 2 компа. Один за домашним микротом, второй за дачным. Суть в том, что нужно попробовать перекинуть какой-нибудь файл (чем тяжелее, тем точнее будет картина) с компа на комп через всё тот же SMB

[MKC]

Камеры не показатель. Камеры вещают потоком, то есть udp. Такой трафик априори быстрее. SMB работает на tcp, то есть затраты гораздо больше. 4G ещё сильнее понижает этот показатель скорости, так как эта сеть так иои иначе, а всё же радио канал.

Brandwidth test показывает между микротами стабильную скорость около 40Мбит в обе стороны по tcp и udp, в т.ч. по 4G

....(конфиги в посте выше не нашел, но всё равно счел нужным упомянуть).

Конфиги в третьем посте под спойлерами.

В идеале, чтобы протестировать и точно понять в чем проблема, Вам нужно 2 компа. Один за домашним микротом, второй за дачным. Суть в том, что нужно попробовать перекинуть какой-нибудь файл (чем тяжелее, тем точнее будет картина) с компа на комп через всё тот же SMB

Формально так оно и есть. На одном компе развернуто NAS хранилище на базе XigmaNas (Nas4Free), второй дачный комп. Между ними скорость копирования не более 1Мбит в обе стороны. Так же при подключении к SMB с мобильного телефона (SMB<->VPN<->смартфон) скорость такая же низкая. Это подтверждает что проблемы в связке SMB-домашний микрот.

[MKC]

Поднял другой SMB сервер теперь уже на Windows в домашней сети. Результат такой же плачевный.
Пробовал включать и отключать шифрование - безрезультатно.
Получается узкое место это домашний микрот.

[Inner]

Поднял другой SMB сервер теперь уже на Windows в домашней сети. Результат такой же плачевный.
Пробовал включать и отключать шифрование - безрезультатно.
Получается узкое место это домашний микрот.

А харды в это время ничем другим не заняты? Нагрузка на них точно отсутствует? Может оказаться, что они нагружены на 100% потому и не способны больше отдать

[MKC]

А харды в это время ничем другим не заняты? Нагрузка на них точно отсутствует? Может оказаться, что они нагружены на 100% потому и не способны больше отдать

Нет, харды не заняты. В первом посте я писал что в локальной сети скорость копирования достигает 1Гбит, а по VPN - 0,5-1 Мбит

[KaNelam]

Поднял другой SMB сервер теперь уже на Windows в домашней сети. Результат такой же плачевный.
Пробовал включать и отключать шифрование - безрезультатно.
Получается узкое место это домашний микрот.

На WG поднят тонель?
Пробовали давать адреса из тоже подсети где SMB (т.к. включен arp-proxy)?
Таймаут TCP=2м зачем?
Проверить фаервол, копипасты с тырнета многовато.... брутят кого?)

[MKC]

На WG поднят тонель?

Тоннель изначально поднимал на PPTP, потом перешел на WG - думал проблема в этом. Ничего не изменилось.

Пробовали давать адреса из тоже подсети где SMB (т.к. включен arp-proxy)?

Да, пробовал. Безрезультатно.

Таймаут TCP=2м зачем?

Этого параметра уже нет.

Проверить фаервол, копипасты с тырнета многовато.... брутят кого?)

Правила файерволла выключал, включал, переставлял - не помогло.
Копипаста - типовой набор правил с интернета + защита от DDoS + брут
Брут установлен как защита от перебора паролей.