Mikrotik hAP ac2 (RBD52G-5HacD2HnD) упала скорость download

[sergey.rusakov]

Прошу помощи, имею скромные познания в сетях и в Mikrotik в частности. Что то явно вне моего понимания.

Несколько месяцев исправно работала домашняя сеть на провайдере Билайн. Вчера скорость неожиданно оказалось никакой, почти совсем. При этом download - 1-2 Mbit/s, upload - 96-98 Mbit/s. Ноутбук подключил напрямую в провод провайдера - по обоим направлениям 96-98 Mbit/s.

Mikrotik использую как граничный firewall. За ним два роутера Honor Wi-Fi 6 plus, объеденные в MESH-сеть.

Мучал Mikrotik обновами и ручным конфигом через терминал - не помогает. Что бы домашние не убили, временно, ведущий Honor воткнул к провайдеру. Для поиска причины ноутбук подключил к Mikrotik, а Mikrotik первым портом подключил как клиента к Honor. На удивление скорость оказалась приемлемой 70-80 Mбит/с. На радостях перекоммутировал все обратно (Провайдер - Mikrotik - Honor) и получил вчерашние грабли download - 1-2 Mbit/s, upload - 96-98 Mbit/s.

Собственно, почему падает download при нормальном upload, и почему, если ставить Mirotik за Honor, то все работает достойно - не понимаю.

 конфиг

[admin2@MikroTik] > export
# apr/22/2021 17:43:12 by RouterOS 6.48.2
# software id = JNMY-ZC15
#
# model = RBD52G-5HacD2HnD
# serial number = D7160C3516D1
/interface bridge
add name=bridge1
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce country=russia disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=NHP2 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-Ceee country=russia disabled=no frequency=auto mode=ap-bridge ssid=NHP5 wireless-protocol=802.11
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" group-key-update=1h mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=111 wpa2-pre-shared-key=111
/ip pool
add name=dhcp ranges=192.168.101.100-192.168.101.254
/ip dhcp-server
add address-pool=dhcp disabled=no interface=bridge1 lease-time=1w name=serverlocal
/interface bridge port
add bridge=bridge1 interface=ether2
add bridge=bridge1 interface=ether3
add bridge=bridge1 interface=ether4
add bridge=bridge1 interface=ether5
add bridge=bridge1 interface=wlan1
add bridge=bridge1 interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=ether1 list=WAN
add interface=bridge1 list=LAN
/ip address
add address=192.168.101.1/24 interface=bridge1 network=192.168.101.0
/ip dhcp-client
add disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.101.0/24 gateway=192.168.101.1 netmask=24
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.101.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=forward connection-state=established,related
add action=accept chain=in connection-state=established,related
add action=accept chain=input in-interface=bridge1
add action=accept chain=forward in-interface=bridge1
add action=drop chain=forward connection-state=invalid
add action=drop chain=input connection-state=invalid
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1
/ip firewall service-port
set tftp disabled=yes
/ip service
set www-ssl disabled=no
/system clock
set time-zone-name=Europe/Moscow
/tool mac-server
set allowed-interface-list=LAN


[admin2@MikroTik] > tool profile
NAME CPU USAGE
console 0.1%
firewall 0%
networking 0%
winbox 0.2%
management 0.2%
wireless 0%
routing 0%
profiling 0%
telnet 0%
unclassified 0%
total 0.5%

Извините, если, что то прошляпил и спрашиваю банальные вещи.
Заранее благодарю за дельные советы!!!

[xvo]

Ну во-первых, у вас роутер никак не защищен снаружи.
Во-вторых, как вы тестируете, что подозрение именно на микротик - кабелем напрямую в него?

Итого, желательно сделать ему netinstall (а если у вас ещё вдруг и белый IP, то не желательно, а обязательно) и вернуть дефолтный конфиг.

[sergey.rusakov]

Ну во-первых, у вас роутер никак не защищен снаружи.

Упс...Файрвольные правила плохо понимаю, думал все внешние коннекты запрещены. Буду читать.

Во-вторых, как вы тестируете, что подозрение именно на микротик - кабелем напрямую в него?

Да кабелем, полностью отключая Wi-Fi на ноуте как класс.

Итого, желательно сделать ему netinstall (а если у вас ещё вдруг и белый IP, то не желательно, а обязательно) и вернуть дефолтный конфиг.

Попробую, отпишусь.

IP статический, видимый из интернета. Дети просили сервер Minecraft. Какое то время на dlink dyn dns жило, а когда он свернулся, просто взял ip у провайдера. Netinstall'ом заливал stable прошивку 6.48.2. Через winbox не хотела ставиться. Там же отказался от дефолтного конфига. В форумах, например тут https://forum.nag.ru/index.php?/topic/9 ... avisaniya/ часто пишут "Попробуйте начать с правильной настройки и отмены начальной конфигурации." Почему?

[xvo]

Все правильно пишут.
Но с оговоркой, что вы понимаете, что и как надо настраивать.
С белым IP и таким firewall'ом почти 100% его как минимум заваливали DNS-запросами извне.
А может и ломанули.
Надеюсь хоть пользователь/пароль на нем были не дефолтные?

В общем сделайте netinstall, и хотя бы firewall возьмите в неизменном виде из дефолтного конфига.
Если это проблему не поправит, тогда уже будет думать дальше.

[sergey.rusakov]

Надеюсь хоть пользователь/пароль на нем были не дефолтные?

Нет конечно.

В общем сделайте netinstall, и хотя бы firewall возьмите в неизменном виде из дефолтного конфига.
Если это проблему не поправит, тогда уже будет думать дальше.

К сожалению, все тоже самое. Ссылка на результаты замера скорости https://www.speedtest.net/result/11306659522

 Текущий конфиг

[admin2@MikroTik] > export
# apr/23/2021 00:08:08 by RouterOS 6.48.2
# software id = JNMY-ZC15
#
# model = RBD52G-5HacD2HnD
# serial number = D7160C3516D1
/interface bridge
add admin-mac=48:8F:5A:C7:E3:86 auto-mac=no comment=defconf name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-XX country=russia disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=NHP2 wireless-protocol=802.11
set [ find default-name=wlan2 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX country=russia disabled=no distance=indoors frequency=auto installation=indoor mode=ap-bridge ssid=NHP5 wireless-protocol=802.11
/interface list
add comment=defconf name=WAN
add comment=defconf name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=********
/ip pool
add name=default-dhcp ranges=192.168.88.10-192.168.88.254
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge comment=defconf interface=ether2
add bridge=bridge comment=defconf interface=ether3
add bridge=bridge comment=defconf interface=ether4
add bridge=bridge comment=defconf interface=ether5
add bridge=bridge comment=defconf interface=wlan1
add bridge=bridge comment=defconf interface=wlan2
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add comment=defconf interface=bridge list=LAN
add comment=defconf interface=ether1 list=WAN
/ip address
add address=192.168.88.1/24 comment=defconf interface=bridge network=192.168.88.0
/ip dhcp-client
add comment=defconf disabled=no interface=ether1
/ip dhcp-server network
add address=192.168.88.0/24 comment=defconf gateway=192.168.88.1
/ip dns
set allow-remote-requests=yes
/ip dns static
add address=192.168.88.1 comment=defconf name=router.lan
/ip firewall filter
add action=accept chain=input comment="defconf: accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="defconf: drop invalid" connection-state=invalid
add action=accept chain=input comment="defconf: accept ICMP" protocol=icmp
add action=accept chain=input comment="defconf: accept to local loopback (for CAPsMAN)" dst-address=127.0.0.1
add action=drop chain=input comment="defconf: drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="defconf: accept in ipsec policy" ipsec-policy=in,ipsec
add action=accept chain=forward comment="defconf: accept out ipsec policy" ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward comment="defconf: fasttrack" connection-state=established,related
add action=accept chain=forward comment="defconf: accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="defconf: drop invalid" connection-state=invalid
add action=drop chain=forward comment="defconf: drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="defconf: masquerade" ipsec-policy=out,none out-interface-list=WAN
/ip service
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Saratov
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
[admin2@MikroTik] >

В интерфейсе WinBox (без использования вкладки Quick Set) переопределил пользователя, алгоритм шифрования, country и SSID для WiFi, wpa2-pre-shared-key, временную зону. Все, больше ничего не трогал. Естественно перезагрузил.

Тест снимал ноутбуком, с выключенным Wi-Fi, по проводу, подключенному к ether5, интернет воткнут в ether1

[xvo]

А если попробовать MTU уменьшить на ether1?

[sergey.rusakov]

А если попробовать MTU уменьшить на ether1?

Поставил 1000. Не помогло. https://www.speedtest.net/result/11306800308
По графику, как будто что то режет. Вот только что? В routeros-arm-6.48.2.npk не может быть чего то заложено?

[xvo]

В routeros-arm-6.48.2.npk не может быть чего то заложено?

Да нет, вроде бы удивительно безглючный релиз.

Ладно, MTU верните.
На всякий случай спрошу - сервера то разные тестировали?
Ну и кроме спидтеста, в реальной жизни, тоже выше скорость не поднимается?

[sergey.rusakov]

Ладно, MTU верните.

Вернул MTU=1500

На всякий случай спрошу - сервера то разные тестировали?
Ну и кроме спидтеста, в реальной жизни, тоже выше скорость не поднимается?

Кроме разных назначений в sppedtest'е, проверял яндексом. Порядок цифр такой же.
В обычной жизни все очень сильно сказывается. Работаю по vpn. По нему при хорошем канале скорость ниже, чем начальная, а тут совсем ничего не открывалось. И VPN более чувствителен к просадкам, чуть что - reconnect. Из-за этого и полез разбираться.

Для диагностики, попробовал "нагрузить" искусственно. Четыре онлайн трансляции с ютуба параллельно шли нормально. Для канала меньше 1 мбит/с это вроде бы странно.

Смотрел в это время на циферки на ether1 вкладка Traffic. Там корреляция с увеличением нагрузки вроде бы прослеживалась, поднималась до 5-6. Хотел попробовать качнуть, просто уже не нашел большого файла. Опять же надо знать, что и где мониторить. Буду признателен на ссылку, где почитать дельное.

 Возможно поможет, снято когда запускал ролики ютуба

C:\Users\internet>ping ya.ru

Обмен пакетами с ya.ru [87.250.250.242] с 32 байтами данных:
Ответ от 87.250.250.242: число байт=32 время=6мс TTL=246
Ответ от 87.250.250.242: число байт=32 время=5мс TTL=246
Превышен интервал ожидания для запроса.
Ответ от 87.250.250.242: число байт=32 время=5мс TTL=246

Статистика Ping для 87.250.250.242:
Пакетов: отправлено = 4, получено = 3, потеряно = 1
(25% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 5мсек, Максимальное = 6 мсек, Среднее = 5 мсек

C:\Users\internet>ping ya.ru

Обмен пакетами с ya.ru [87.250.250.242] с 32 байтами данных:
Превышен интервал ожидания для запроса.
Ответ от 87.250.250.242: число байт=32 время=5мс TTL=246
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 87.250.250.242:
Пакетов: отправлено = 4, получено = 1, потеряно = 3
(75% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 5мсек, Максимальное = 5 мсек, Среднее = 5 мсек

C:\Users\internet>tracert ya.ru

Трассировка маршрута к ya.ru [87.250.250.242]
с максимальным числом прыжков 30:

1 1 ms 1 ms 1 ms router.lan [192.168.88.1]
2 2 ms 2 ms 2 ms 78.107.181.151
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 3 ms 3 ms 3 ms m9-crs-be13.corbina.net [85.21.224.54]
6 * 3 ms 2 ms m9-br-be3.corbina.net [195.14.62.85]
7 3 ms 10 ms * corbina-gw.dante.yandex.net [83.102.145.178]
8 * * * Превышен интервал ожидания для запроса.
9 * 6 ms * ya.ru [87.250.250.242]
10 5 ms 7 ms 5 ms ya.ru [87.250.250.242]

Трассировка завершена.

[xvo]

Так, а если просто прямо с микротика запустить пинг (не важно чего, гугла, яндекса) - он пакеты теряет?
Если нет, попробовать ещё большими пакетами - по 1500.