crs125-24g-1s-rm разделение LAN и Wi-Fi

Обсуждение ПО и его настройки
vasilich159
Сообщения: 6
Зарегистрирован: 23 ноя 2016, 14:00

Добрый день!
Есть сеть, в которой есть офисные ПК (5 шт.) и гостевой Wi-Fi (5 точек доступа Ubiquiti UniFi AP LR). Есть провайдер, который выдает 60 Мбит/сек. Пользователей в общей сложности получается около 20-50 (в разное время по-разному). Необходимо разделить эти сети без доступа между собой, т.е. ПК отдельно (192.168.1.0/24), Wi-Fi отдельно (192.168.0.0/24).
Пробовал настроить через объединение портов в Bridge и применение к ним DHCP + запрет на общение между сетями в Routes. Все работает, но слишком тормознуто. После подключения 10-15 пользователей интернет работает с задержками (страница подгружается, но индикатор загрузки браузера все крутит, крутит, крутит...). Провайдер выдает динамическую IP на eth1-master

Вычитал, что Bridge работает медленнее чем связь MasterPort - SlavePort.
Сделал по другому, eth2 - MasterPort, eth3 и eth4 - Slave (eth2 для них Master ) и eth9 - MasterPort, eth10-eth15 - Slave (eth9 для них Master). DHCP повесил на eth2 (192.168.1.0/24) и eth9(192.168.0.0/24). Через NAT сделал 192.168.1.0 на eth1-master (masquerade) и 192.168.0.0 на eth1-master (masquerade).

В обоих случаях пробовал настроить Simple Queue с ограничением каждого IP до 2 Мбит/сек, но....

Используемое оборудование: Mikrotik crs125-24g-1s-rm и Ubiquiti UniFi AP LR.

Прошу помощи, т.к. народ злится, а я не уверен, что все делаю правильно. Возможно вообще проблемы в самом оборудовании? Схему сети приложил для большего понимания картины!
Возможно не ответите на вопрос, но хотя бы направите на путь истинный) С Mikrotik столкнулся впервые
Заранее, благодарен!

Изображение


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

crs125-24g-1s-rm - он коммутатор и до маршрутизатора он все же не дотягивает. Поэтому все и тормозит.
Для начала проверьте нагрузку при максимальном количестве клиентов.
Пока без ограничений между сетями. Если все будет работать нормально, то пробуйте сделать ограничения через фаерволл.
Да, и выключите пока ВСЕ правила фаерволла. Каждое правило отжирает ресурсы.
Хотя, если при максимальном количестве клиентов вы получите нагрузку больше 90% - то микротик нужно менять на более мощный.


KARaS'b
Сообщения: 1199
Зарегистрирован: 29 сен 2011, 09:16

В защиту crs125-24g-1s-rm. Судя по тестам это тот же 2011. А в 2011 спокойно переваривал больше полусотни активных пользователей, плюс парочка сервисов, шейпинг в том числе, правда все это на 20 мбитах. Подробней я писал в теме где человек в отель\гостиницу железку искал.
Так что, похоже, что-то не очень хорошо настроено.


Аватара пользователя
podarok66
Модератор
Сообщения: 4355
Зарегистрирован: 11 фев 2012, 18:49
Откуда: МО

Не очень всё внятно, хотелось бы увидеть конфигурацию.
Тем более, там WiFi вроде как вообще отдельная песня с отдельных портов. Вспоминаем, что на данной железке три чипа, все точки доступа собираем на порты одного чипа (так оно и есть на рисунке), офисные компы на другом чипе. Никаких бриджей как бы и не вижу пока.
Фаервол отключаем однозначно. Доступ из сети в сеть отключим позднее... А там и до очередей дело дойдет.


Мануалы изучил и нигде не ошибся? Фаервол отключил? Очереди погасил? Витая пара проверена? ... Тогда Netinstal'ом железку прошей и настрой ее заново. Что, все равно не фурычит? Тогда к нам. Если не подскажем, хоть посочувствуем...
vasilich159
Сообщения: 6
Зарегистрирован: 23 ноя 2016, 14:00

Выкладываю конфиг моего Mikrotik. Решил выложить как есть со всеми запретами, без Simple Queue. Посмотрите пожалуйста:

Код: Выделить всё

[admin@MikroTik] > /export
# nov/24/2016 15:40:16 by RouterOS 6.37.1
# software id = 38LM-S2EJ
#
/interface ethernet
set [ find default-name=ether1 ] name=ether1-master
set [ find default-name=ether3 ] master-port=ether2
set [ find default-name=ether4 ] master-port=ether2
set [ find default-name=ether5 ] master-port=ether1-master
set [ find default-name=ether6 ] master-port=ether1-master
set [ find default-name=ether7 ] master-port=ether1-master
set [ find default-name=ether8 ] master-port=ether1-master
set [ find default-name=ether10 ] master-port=ether9
set [ find default-name=ether11 ] master-port=ether9
set [ find default-name=ether12 ] master-port=ether9
set [ find default-name=ether13 ] master-port=ether9
set [ find default-name=ether14 ] master-port=ether9
set [ find default-name=ether15 ] master-port=ether9
set [ find default-name=ether16 ] master-port=ether1-master
set [ find default-name=ether17 ] master-port=ether1-master
set [ find default-name=ether18 ] master-port=ether1-master
set [ find default-name=ether19 ] master-port=ether1-master
set [ find default-name=ether20 ] master-port=ether1-master
set [ find default-name=ether21 ] master-port=ether1-master
set [ find default-name=ether22 ] master-port=ether1-master
set [ find default-name=ether23 ] master-port=ether1-master
set [ find default-name=ether24 ] master-port=ether1-master
set [ find default-name=sfp1 ] master-port=ether1-master
/ip pool
add name=pool_LAN ranges=192.168.1.2-192.168.1.7
add name=pool_Wi-Fi ranges=192.168.0.100-192.168.0.200
/ip dhcp-server
add address-pool=pool_LAN disabled=no interface=ether2 name=server_LAN
add address-pool=pool_Wi-Fi disabled=no interface=ether9 name=server_Wi-Fi
/ip address
add address=192.168.88.1/24 comment=defconf interface=ether1-master network=\
    192.168.88.0
add address=192.168.1.1/24 interface=ether2 network=192.168.1.0
add address=192.168.0.1/24 interface=ether9 network=192.168.0.0
/ip dhcp-client
add default-route-distance=0 dhcp-options=hostname,clientid disabled=no \
    interface=ether1-master
/ip dhcp-server network
add address=192.168.0.0/24 dns-server=\
    192.168.0.1,77.88.8.8,77.88.8.1,4.4.4.4,8.8.8.8 gateway=192.168.0.1
add address=192.168.1.0/24 dns-server=\
    192.168.1.1,77.88.8.8,77.88.8.1,4.4.4.4,8.8.8.8 gateway=192.168.1.1
/ip dns
set allow-remote-requests=yes servers=77.88.8.8,77.88.8.1,4.4.4.4,8.8.8.8
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1-master src-address=\
    192.168.1.0/24
add action=masquerade chain=srcnat out-interface=ether1-master src-address=\
    192.168.0.0/24
/ip route rule
add action=unreachable dst-address=192.168.0.0/24 src-address=192.168.1.0/24
add action=unreachable dst-address=192.168.1.0/24 src-address=192.168.0.0/24
/system routerboard settings
set protected-routerboot=disabled
[admin@MikroTik] >


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Попробуйте поработать вообще без Simple Queue.
И без
add action=unreachable dst-address=192.168.0.0/24 src-address=192.168.1.0/24
add action=unreachable dst-address=192.168.1.0/24 src-address=192.168.0.0/24

Нагрузка на микротик сильно уменьшится.


vasilich159
Сообщения: 6
Зарегистрирован: 23 ноя 2016, 14:00

Хорошо, попробую.
Уважаемый gmx, А про какую именно нагрузку вы говорите? Про CPU? Просто когда я все свои художества тестировал, в том числе наблюдал и за CPU. Я конечно не целый день смотрел на показатели, но в среднем выходило где-то 20-30% нагрузки CPU.
Возможно дело в чем-то другом?
В любом случае, спасибо за информацию.


vasilich159
Сообщения: 6
Зарегистрирован: 23 ноя 2016, 14:00

Извиняюсь, у меня несколько иное оборудование, Mikrotik crs125-24g-1s-in. Но я так понял, что по сути это одно и тоже (Mikrotik crs125-24g-1s-in и Mikrotik crs125-24g-1s-rm). Разница лишь в коробке.
Есть еще вот какие наблюдения. На сенсорном экране нажать кнопку при наборе PIN CODE достаточно сложно. Дело в том, что нажимаешь, нажимаешь, через раз даже показывается выделение (белым цветом), но срабатывает это нажатие не всегда.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

А проблемы со скоростью у всех клиентов? Или только по WiFi.

В момент проблем, какая скорость по интерфейсам?? Канал от провайдера занят на 100%???

Если CPU не более 30%, то проблема вряд ли в микротике. Может в сети какой качальщик завелся??? Торрентом можно любую сеть повесить.


vasilich159
Сообщения: 6
Зарегистрирован: 23 ноя 2016, 14:00

В том-то и дело, что проблемы со скоростью появляются у всех. Поэтому я и пробовал использовать Simple Queue для всяких там качал. Для ориентации использовал вот эту статью http://www.technotrade.com.ua/Articles/ ... peed_limit
И если я конечно правильно смотрел, то результаты скорости на интерфейсах были порядка 1Мбит/сек, что конечно странно. Поэтому я и подумал, что возможно что-то делаю не так!
Хотя скорость провайдера у одного подключенного ПК была 60 Мбит/сек


Ответить