RB4011iGS+ как узнать кто вешает сеть?

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
tianddu
Сообщения: 15
Зарегистрирован: 28 янв 2022, 07:24

Добрый день. Имеем учебное заведение на 80 компов сотрудников и примерно 70 компов для учащихся. Раньше стоял гигабитный 951 с отдельным Тплинком на комп классы. Последние пол года, пару раз в неделю порт с провайдером вешался на 150мбит из имеющихся 100, при этом порт смотрящий в локальную сеть тоже был занят на 150мбит. При этом микротик уходил в загрузку на 100%, подсказали что 951ый возможно уже маловат для такой нагрузки, и сказали возьмите 4011 сразу. Купил, поставил, настроил 1ый порт на провайдера, 2-5 порты на локалку, 6-7 на компьютерные классы со своим DHCP. Стало лучше, нагрузки выше чем 1% вообще не видел. Так проработало с месяц без проблем.
Вчера да и вот пока пишу пост загрузка на порт провайдера выростает до 150мбит, а мосты и остальные порты не показывают аномальных нагрузок, как будто сам микротик забивает весь канал. Скорее всего что то именно с локалкой, так как само здание увеличивалось так сказать постепенно, где то арендовали новые помещения, где то отказывались, а теперь и вовсе все здание выкупили. Ни кто не думал ставить управляемые комуты (щас будем выбивать деньги на них но тоже за 1 день не купят), ну и сейчас узнать где именно проблемы - не получится.
Ну и вопрос, можно ли узнать через микротик откуда прилетает весь трафик? 53 порт закрыт. Увы сейчас скрин сделать не успел, а вчера смог сделать только фото.
фото:
Изображение

Код: Выделить всё

# jan/28/2022 08:40:42 by RouterOS 7.1.1
# software id = T11U-M4R7
#
# model = RB4011iGS+5HacQ2HnD
# serial number = F03C0E8BA6FE
/interface bridge
add name=bridge.5
add name=bridge.25
/interface ethernet
set [ find default-name=ether1 ] name=ether-wan
set [ find default-name=ether2 ] comment="5 \F1\E5\F2\EA\E0 \E2 \EA\EE\EC\EC\F3\F2\E0\F2\EE\F0"
set [ find default-name=ether6 ] comment="25 \F1\E5\F2\EA\E0 \ED\E0 5 \F1\E5\F0\E2\E0\EA"
set [ find default-name=ether7 ] comment="25 \F1\E5\F2\EA\E0 \E2 \EA\EE\EC\EC\F3\F2\E0\F2\EE\F0"
set [ find default-name=sfp-sfpplus1 ] disabled=yes
/interface wireless
set [ find default-name=wlan1 ] band=5ghz-a/n/ac channel-width=20/40/80mhz-XXXX disabled=no frequency=auto hide-ssid=yes mode=ap-bridge ssid=210kab
set [ find default-name=wlan2 ] ssid=MikroTik
/interface vlan
add interface=bridge.5 name=vlan.unifi vlan-id=10
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether-wan name=pppoe-domru user=XXXXXXX
/interface lte apn
set [ find default=yes ] ip-type=ipv4
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=IT
/ip pool
add name=pool.dhcp.5 ranges=192.168.5.111-192.168.5.135
add name=pool.dhcp.wifi ranges=10.10.10.100-10.10.10.200
add name=pool.dhcp.25 ranges=192.168.25.150-192.168.25.250
/ip dhcp-server
add address-pool=pool.dhcp.5 interface=bridge.5 lease-time=1d name=dhcp.server.5
add address-pool=pool.dhcp.25 interface=bridge.25 lease-time=1d name=dhcp.server.25
add address-pool=pool.dhcp.wifi interface=vlan.unifi lease-time=12h name=dhcp.server.unifi
/port
set 0 name=serial0
set 1 name=serial1
/queue simple
add dst=pppoe-domru max-limit=60M/60M name=speeeeeeeeeeed target=bridge.25
/routing bgp template
set default as=65530 disabled=no name=default output.network=bgp-networks
/routing ospf instance
add name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/interface bridge port
add bridge=bridge.5 ingress-filtering=no interface=ether2
add bridge=bridge.5 ingress-filtering=no interface=ether3
add bridge=bridge.5 ingress-filtering=no interface=ether4
add bridge=bridge.5 ingress-filtering=no interface=ether5
add bridge=bridge.25 interface=ether6
add bridge=bridge.25 interface=ether7
add bridge=bridge.25 interface=wlan1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/ip address
add address=10.10.10.1/24 interface=vlan.unifi network=10.10.10.0
add address=192.168.5.2/24 interface=bridge.5 network=192.168.5.0
add address=192.168.25.1/24 interface=bridge.25 network=192.168.25.0
/ip dhcp-server network
add address=10.10.10.0/24 dns-server=10.10.10.1,8.8.8.8,8.8.4.4 gateway=10.10.10.1 netmask=24
add address=192.168.5.0/24 dns-server=192.168.5.5,8.8.8.8,8.8.4.4 gateway=192.168.5.2 netmask=24
add address=192.168.25.0/24 dns-server=192.168.25.10,8.8.8.8,8.8.4.4 gateway=192.168.25.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=8.8.8.8
/ip firewall filter
add action=drop chain=input dst-port=53 in-interface=pppoe-domru protocol=udp
add action=accept chain=input dst-port=1192 protocol=tcp
add action=accept chain=input dst-port=8291 protocol=tcp
add action=accept chain=input dst-port=1701 protocol=udp
/ip firewall nat
add action=masquerade chain=srcnat src-address=192.168.5.0/24
add action=masquerade chain=srcnat src-address=192.168.25.0/24
add action=dst-nat chain=dstnat comment="1C \D1\E0\F8\E0" dst-port=ХХХХ in-interface=pppoe-domru log=yes protocol=tcp src-address=85.202.229.66 \
    to-addresses=192.168.5.4 to-ports=3389
add action=dst-nat chain=dstnat comment="1\D1 \CA\F3\EB\E0\EA\EE\E2\E0" dst-port=ХХХХ in-interface=pppoe-domru log=yes protocol=tcp src-address=\
    92.55.5.36 to-addresses=192.168.5.4 to-ports=3389
add action=dst-nat chain=dstnat comment="1\D1 \CA\EE\EB\EB\E5\E4\E6" disabled=yes dst-port=ХХХХ in-interface=pppoe-domru protocol=tcp to-addresses=\
    192.168.5.125 to-ports=80
add action=dst-nat chain=dstnat comment="\D0\EE\EC\E0\F8\EA\E0" dst-port=7023 in-interface=pppoe-domru log=yes protocol=tcp to-addresses=192.168.5.5 \
    to-ports=7023
add action=accept chain=dstnat
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api address=192.168.5.0/24
set winbox address=192.168.5.0/24,93.188.124.162/32
/system clock
set time-zone-name=Europe/Samara
/system leds
add interface=wlan2 leds=wlan2_signal1-led,wlan2_signal2-led,wlan2_signal3-led,wlan2_signal4-led,wlan2_signal5-led type=wireless-signal-strength
add interface=wlan2 leds=wlan2_tx-led type=interface-transmit
add interface=wlan2 leds=wlan2_rx-led type=interface-receive
/system resource irq rps
set sfp-sfpplus1 disabled=no


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Torch вам в помощь. Становитесь на интерфейс pppoe и смотрите, что там вам прилетает на порт. При помощи сортировки можно будет поглядеть самую сильную нагрузку.
Фаерволл у вас не особо настроен.
Попробуйте его настроить хотя бы так, как сделано в дефолтном конфиге.
Помните, что в микротике такой принцип: все, что не запрещено специально - разрешено. Поэтому от ваших разрешающих правил толку нет, так-как в принципе нет запрещающего правила.
Ну и, будем надеется, что через некоторое время все успокоится и вам и порту полегчает.

Для чего вот это правило:

Код: Выделить всё

add action=accept chain=dstnat
???


tianddu
Сообщения: 15
Зарегистрирован: 28 янв 2022, 07:24

gmx писал(а): 28 янв 2022, 08:34 Для чего вот это правило:

Код: Выделить всё

add action=accept chain=dstnat
???
Это кнечно интересно но правило стандартное..
Проблема в том что torch не показывает аномальных нагрузок на этом микротике, хотя на 951 когда помимо порта провайдера грузились порты локалки, торч помогал, а тут ну максимум килобайты...


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Ну если проблем нет и правило стандартное, то как вам еще помочь-то???
У вас все ок!

На мой взгляд, прежде чем писать, надо бы хотя-бы призадуматься. Почитать инфу в инете. Проанализировать.
Потом еще раз подумать!!

Ну как же так? Если порт показывает превышение трафика, а торч ничего не показывает???
Может я не так смотрю??? Или не там??? Или не вижу?? Может быть там просто очень много мелких соединений??? Может их там десятки тысяч??? А может быть смотреть надо именно на pppoe, а не на ether???? И разве торч в строке статуса не напишет суммарный трафик в обоих направлениях???


А может все-таки настроить фаерволл правильно и порезать все подряд? Особенно все входящие соединения, которые не были инициированы из вашей локальной сети???
И поглядеть как оно вообще будет работать?

А еще можно написать в поддержку провайдера? Откуда же берется трафик сверх тарифа??? Как они его вообще пропускают?? А может они его не видят???

А если еще подумать.... Ого, а может быть этот трафик мы себе сами генерим??? А может быть петля внутри сети? А если в момент проблемы просто взять и отключить pppoe. Трафик на внутренних портах сохранится????

А может быть это какая-то другая коллизия??? Может какой-то коммутатор в сети генерет мусор??? И вся сеть от этого напрягается???? Пробовали ли отключать сегменты сети в момент проблемы???
А может это неисправная сетевая карта в каком-нибудь компе???

А мониторите ли вы эти сегменты сети???? А уж не торрент ли это качают??? а трафик превышается потому, что локальный трафик внутри сети провайдера вообще без ограничений, а торрент клиент просто нашел пира в локальной сети провайдера???


Я уверен, у вас инженерная должность. Так будьте же инженером - думайте, пробуйте, не получилось - снова пробуйте.

Никто на форуме, на этом или любом другом, не сможет за вас решить проблему. Можно только натолкнуть на мысль, что-то посоветовать, но решения, тем более, однозначного вам никто не даст. Это невозможно в принципе...


tianddu
Сообщения: 15
Зарегистрирован: 28 янв 2022, 07:24

да и на ether и на pppoe смотрел, попробую поймать в следующий момент. Торенты запрещены политикой касперского.
Провайдер пропускает пиково, на короткое время, может и локальный трафик пропускает, а может видит превышение трафика по каким то портам и режет их и все нормализуется.
Может быть все что угодно я по этому и написал что все роутеры в сети тупые, а кроме этого они все в цепочку, до самого дальнего клиента 15 проходных коммутаторов, и это не моя прихоть, а не возможность изменить структуру на данный момент изза ремонта/дистанции. По этому я и спросил возможно ли как то. Есть вариант ставить в разрыв простенький управляемый d-link и через него пытаться ловить откуда генерируется трафик.
Сегментами отключали, но пока возьмешь лесенку, пока отключишь проблема уходит сама собой.
Направление понял, буду думать :se_lya_ne:


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Ну вот и отлично!!!

А еще микротик вам дам бесплатный инструмент - The Dude.

Она может не только мониторить доступность устройств сети, но и трафик от них.

Рисуйте свою сеть в The Dude, добавляйте устройства, включайте на клиентах, коммутаторах (и других устройствах сети) протокол SNMP и мониторьте все и вся! SNMP можно включить даже на каждом компе!!!

Вот посмотрите на мой скрин:


Изображение


Точка WiFi в спортзале сейчас не работает. В спортзале нет света. А завучи немного работают, там трофик около 3 магибит.


Ну и дальше выводы: сеть надо переделывать. Забудьте вообще про неуправляемые свичи. Как класс. Нельзя из применять в более или менее серьезных сетях.


tianddu
Сообщения: 15
Зарегистрирован: 28 янв 2022, 07:24

gmx писал(а): 28 янв 2022, 09:51 А еще микротик вам дам бесплатный инструмент - The Dude.
....
Ну и дальше выводы: сеть надо переделывать. Забудьте вообще про неуправляемые свичи. Как класс. Нельзя из применять в более или менее серьезных сетях.
Про Dude я читал, но ни на одном компе не запускается клиент из v7 и толком решения этой проблемы я не нашел. ошибка 0xc0000005 всего1 ответ в гугле и то ни как не помогает..
А про комуты... Иногда думаешь что в частном образовании все проще чем в бюджетном... Но попробуй докажи что НАДО управляемый свич. 6 лет назад стоял обычный свич на 24 порта и 5 свичей мелких. Вечные переезды отделов по зданию не давали организовать нормальную сеть.+ коридор по факту был не наш например, и протянуть там 5 кабелей вместо одного было просто невозможно.. Будем писать, добиваться управляемых свичей, раз выкупили здание теперь.. Тут и оптикой надо тянуть в некоторых местах изза дальности..


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

tianddu писал(а): 28 янв 2022, 09:41 .. пока возьмешь лесенку, пока отключишь..
А причем здесь лесенка? :ne_vi_del:
Вам нужно в первую очередь определится по микротику: трафик приходит с наружи WAN, трафик генерится внутри, трафик генерится в LAN. Ну а потом уже искать рецепты по результатам в какой ветке проблема.
Но вышесказанный совет - поставить дефолтный фаервол, лучше выполнить сразу. Может и проблемы никакой не будет :mi_ga_et:

По Dude, в 7 его пока нет. Лично я ещё стремаюсь ставить 7 в боевые условия.
Скачайте версию дудки 4,03 бета и поставьте на любом компе.. это последняя под винду. Или на виртуалке поставте ROS6 c бесплатной лицензией, там будет ограничение в 1 мбит/с, но для мониторинга хватит.

PS
tianddu писал(а): 28 янв 2022, 10:26 Будем писать, добиваться управляемых свичей, раз выкупили здание теперь.. Тут и оптикой надо тянуть в некоторых местах изза дальности..
Вообще не правильный подход. Раз выкупили здание теперь нужно сделать полный проект СКС с нуля и уже под него заказывать оборудование.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
tianddu
Сообщения: 15
Зарегистрирован: 28 янв 2022, 07:24

Ca6ko писал(а): 28 янв 2022, 10:35
tianddu писал(а): 28 янв 2022, 09:41 .. пока возьмешь лесенку, пока отключишь..
А причем здесь лесенка? :ne_vi_del:
Вам нужно в первую очередь определится по микротику: трафик приходит с наружи WAN, трафик генерится внутри, трафик генерится в LAN. Ну а потом уже искать рецепты по результатам в какой ветке проблема.
Но вышесказанный совет - поставить дефолтный фаервол, лучше выполнить сразу. Может и проблемы никакой не будет :mi_ga_et:

По Dude, в 7 его пока нет. Лично я ещё стремаюсь ставить 7 в боевые условия.
Скачайте версию дудки 4,03 бета и поставьте на любом компе.. это последняя под винду. Или на виртуалке поставте ROS6 c бесплатной лицензией, там будет ограничение в 1 мбит/с, но для мониторинга хватит.

Вообще не правильный подход. Раз выкупили здание теперь нужно сделать полный проект СКС с нуля и уже под него заказывать оборудование.
ну лесенка тут имеется ввиду что физически отключать участки сети, ибо они все либо на шлюзах либо под армстронгом.. v7 пришла из коробки сразу с 4011..
с фаерволом попытаюсь разобраться.. Кажется что все равно дело в локалке...
Проектирование сети... опустим этот момент... на это просто ни кто не пойдет вот и все..
Всем спасибо, если решение найду, дам тут ответ :ps_ih:


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

tianddu писал(а): 28 янв 2022, 10:55 ни кто не пойдет вот и все..
Как никто? А Вы?


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
Ответить